Que retenir d’IAM Access Analyzer ?
IAM Access Analyzer a été l’une des tops annonces faites par AWS au re:Invent de décembre dernier. Que faut-il retenir d’IAM Acccess Analyzer ?
Analyser les policies, pour quoi faire ?
IAM access analyzer est un outil IAM permettant d’analyser les « policies » d’accès attachées à des ressources et de détecter celles qui sont accessibles publiquement ou partagées avec d’autres comptes AWS. Ça, c’est génial ! Ce qu’il faut savoir c’est que sur AWS, l’accès à des ressources de type S3, clés KMS, etc. peut être géré à différents endroits. On peut utiliser des «IAM policies » ou des « resource-based policies ». Un compte AWS peut facilement contenir une centaine de policies. En effet, savoir quelle ressource est partagée ou accessible publiquement peut se révéler une tâche fastidieuse.
Vérifier les configurations des accès
Par ailleurs, avec la multiplication des policies par différents développeurs ou administrateurs au sein d’un même compte AWS, on n’est pas à l’abri d’une mauvaise configuration d’accès pour un compartiment S3. Ce genre d’erreur peut être l’origine d’une fuite de données, potentiellement fatale pour l’entreprise. Vous avez sans doute entendu parler de quelques fuites de données dues à des mauvaises configurations S3, comme celles citées dans cet article.
Est-ce que IAM Access Analyzer aurait pu empêcher ces fuites de données ? Non, non, non ! IAM Access Analyzer est tout simplement un outil de détection et non de prévention. Il pouvait aider à détecter rapidement ces configurations qui n’étaient pas intentionnelles s’il est activé dans la zone où se trouve une ressource partagée par exemple et pousser l’administrateur du compte à prendre des mesures de remédiations.
A retenir
Rentrons maintenant dans le vif du sujet, à savoir ce qu’il faut retenir d’IAM Access Analyzer. L’outil est gratuit. Il peut être activé en un clic. Pas d’excuse si vous ne l’activez pas. Par contre, même si c’est une fonctionnalité d’IAM qui est un service global, IAM Access Analyzer est spécifique à une région. Il ne peut être activé pour l’instant que par région dans un compte donné.
Aujourd’hui, quand il est activé, il peut monitorer les policies pour seulement 5 types de ressources :
- les compartiments S3,
- les rôles IAM,
- les clés KMS,
- les queues SQS,
- les fonctions lambda.
On souhaite voir la liste s’agrandir très prochainement.
Et voilà ce que je souhaitais partager avec vous sur IAM Access Analyzer. Si vous ne l’avez pas encore testé, allez-y, il peut vous aider à détecter des accès non intentionnels à certaines ressources.