Utilisation de rôles liés à un service pour AWS Audit Manager - AWS Audit Manager
Autorisations de rôle liées à un service pour AWS Audit ManagerCréation du rôle lié à AWS Audit Manager un serviceModification du rôle lié à AWS Audit Manager un serviceSupprimer le rôle lié à AWS Audit Manager un serviceRégions prises en charge pour les rôles AWS Audit Manager liés à un service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour AWS Audit Manager

AWS Audit Manager utilise AWS Identity and Access Management (IAM) des rôles liés à un service. Un rôle lié à un service est un type unique de IAM rôle directement lié à Audit Manager. Les rôles liés à un service sont prédéfinis par Audit Manager et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service facilite la configuration AWS Audit Manager car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Audit Manager définit les autorisations de ses rôles liés à un service ; sauf définition contraire, seul Audit Manager peut endosser ses rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations de rôle liées à un service pour AWS Audit Manager

Audit Manager utilise le rôle lié au service nomméAWSServiceRoleForAuditManager, qui permet d'accéder aux AWS services et aux ressources utilisés ou gérés par. AWS Audit Manager

Le rôle lié à un service AWSServiceRoleForAuditManager fait confiance au service auditmanager.amazonaws.com pour endosser le rôle.

La politique d'autorisation des rôles permet à Audit Manager de collecter des preuves automatisées concernant votre AWS utilisation. AWSAuditManagerServiceRolePolicy Plus précisément, il peut effectuer les actions suivantes en votre nom.

  • L'Audit Manager peut l'utiliser AWS Security Hub pour collecter des preuves de contrôle de conformité. Dans ce cas, Audit Manager utilise l'autorisation suivante pour signaler les résultats des contrôles de sécurité directement depuis AWS Security Hub. Il joint ensuite les résultats à vos contrôles d’évaluation pertinents à titre d’éléments probants.

    • securityhub:DescribeStandards

    Note

    Pour plus d’informations sur les contrôles Security Hub spécifiques qu’Audit Manager peut décrire, consultez la section AWS Security Hub Contrôles pris en charge par AWS Audit Manager.

  • L'Audit Manager peut l'utiliser AWS Config pour collecter des preuves de contrôle de conformité. Dans ce cas, Audit Manager utilise les autorisations suivantes pour communiquer les résultats des évaluations des AWS Config règles directement à partir de AWS Config. Il joint ensuite les résultats à vos contrôles d’évaluation pertinents à titre d’éléments probants.

    • config:DescribeConfigRules

    • config:DescribeDeliveryChannels

    • config:ListDiscoveredResources

    Note

    Pour plus d'informations sur les AWS Config règles spécifiques qu'Audit Manager peut décrire, consultez la section AWS Config Règles prises en charge par AWS Audit Manager.

  • Audit Manager peut être utilisé AWS CloudTrail pour collecter des preuves de l'activité des utilisateurs. Dans ce cas, Audit Manager utilise les autorisations suivantes pour capturer l'activité des utilisateurs à partir CloudTrail des journaux. Il joint ensuite l’activité à vos contrôles d’évaluation pertinents à titre d’élément probant.

    • cloudtrail:DescribeTrails

    • cloudtrail:LookupEvents

    Note

    Pour plus d'informations sur les CloudTrail événements spécifiques qu'Audit Manager peut décrire, consultez les noms AWS CloudTrail d'événements pris en charge par AWS Audit Manager.

  • Audit Manager peut utiliser des AWS API appels pour collecter des preuves de configuration des ressources. Dans ce cas, Audit Manager utilise les autorisations suivantes pour appeler le mode lecture seule APIs qui décrit vos configurations de ressources pour les tâches suivantes. Services AWS Il joint ensuite les API réponses à vos contrôles d'évaluation pertinents à titre de preuve.

    • acm:GetAccountConfiguration

    • acm:ListCertificates

    • apigateway:GET

    • autoscaling:DescribeAutoScalingGroups

    • backup:ListBackupPlans

    • backup:ListRecoveryPointsByResource

    • bedrock:GetCustomModel

    • bedrock:GetFoundationModel

    • bedrock:GetModelCustomizationJob

    • bedrock:GetModelInvocationLoggingConfiguration

    • bedrock:ListCustomModels

    • bedrock:ListFoundationModels

    • bedrock:ListGuardrails

    • bedrock:ListModelCustomizationJobs

    • cloudfront:GetDistribution

    • cloudfront:GetDistributionConfig

    • cloudfront:ListDistributions

    • cloudtrail:DescribeTrails

    • cloudtrail:GetTrail

    • cloudtrail:ListTrails

    • cloudtrail:LookupEvents

    • cloudwatch:DescribeAlarms

    • cloudwatch:DescribeAlarmsForMetric

    • cloudwatch:GetMetricStatistics

    • cloudwatch:ListMetrics

    • cognito-idp:DescribeUserPool

    • config:DescribeConfigRules

    • config:DescribeDeliveryChannels

    • config:ListDiscoveredResources

    • directconnect:DescribeDirectConnectGateways

    • directconnect:DescribeVirtualGateways

    • dynamodb:DescribeBackup

    • dynamodb:DescribeContinuousBackups

    • dynamodb:DescribeTable

    • dynamodb:DescribeTableReplicaAutoScaling

    • dynamodb:ListBackups

    • dynamodb:ListGlobalTables

    • dynamodb:ListTables

    • ec2:DescribeAddresses

    • ec2:DescribeCustomerGateways

    • ec2:DescribeEgressOnlyInternetGateways

    • ec2:DescribeFlowLogs

    • ec2:DescribeInstanceCreditSpecifications

    • ec2:DescribeInstanceAttribute

    • ec2:DescribeInstances

    • ec2:DescribeInternetGateways

    • ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations

    • ec2:DescribeLocalGateways

    • ec2:DescribeLocalGatewayVirtualInterfaces

    • ec2:DescribeNatGateways

    • ec2:DescribeNetworkAcls

    • ec2:DescribeRouteTables

    • ec2:DescribeSecurityGroups

    • ec2:DescribeSecurityGroupRules

    • ec2:DescribeSnapshots

    • ec2:DescribeTransitGateways

    • ec2:DescribeVolumes

    • ec2:DescribeVpcEndpoints

    • ec2:DescribeVpcEndpointConnections

    • ec2:DescribeVpcEndpointServiceConfigurations

    • ec2:DescribeVpcPeeringConnections

    • ec2:DescribeVpcs

    • ec2:DescribeVpnConnections

    • ec2:DescribeVpnGateways

    • ec2:GetEbsDefaultKmsKeyId

    • ec2:GetEbsEncryptionByDefault

    • ec2:GetLaunchTemplateData

    • ecs:DescribeClusters

    • eks:DescribeAddonVersions

    • elasticache:DescribeCacheClusters

    • elasticache:DescribeServiceUpdates

    • elasticfilesystem:DescribeAccessPoints

    • elasticfilesystem:DescribeFileSystems

    • elasticloadbalancing:DescribeLoadBalancers

    • elasticloadbalancing:DescribeSslPolicies

    • elasticloadbalancing:DescribeTargetGroups

    • elasticmapreduce:ListClusters

    • elasticmapreduce:ListSecurityConfigurations

    • es:DescribeDomains

    • es:DescribeDomain

    • es:DescribeDomainConfig

    • es:ListDomainNames

    • events:DeleteRule

    • events:DescribeRule

    • events:DisableRule

    • events:EnableRule

    • events:ListConnections

    • events:ListEventBuses

    • events:ListEventSources

    • events:ListRules

    • events:ListTargetsByRule

    • events:PutRule

    • events:PutTargets

    • events:RemoveTargets

    • firehose:ListDeliveryStreams

    • fsx:DescribeFileSystems

    • guardduty:ListDetectors

    • iam:GenerateCredentialReport

    • iam:GetAccessKeyLastUsed

    • iam:GetAccountAuthorizationDetails

    • iam:GetAccountPasswordPolicy

    • iam:GetAccountSummary

    • iam:GetCredentialReport

    • iam:GetGroupPolicy

    • iam:GetPolicy

    • iam:GetPolicyVersion

    • iam:GetRolePolicy

    • iam:GetUser

    • iam:GetUserPolicy

    • iam:ListAccessKeys

    • iam:ListAttachedGroupPolicies

    • iam:ListAttachedRolePolicies

    • iam:ListAttachedUserPolicies

    • iam:ListEntitiesForPolicy

    • iam:ListGroupPolicies

    • iam:ListGroups

    • iam:ListGroupsForUser

    • iam:ListMfaDeviceTags

    • iam:ListMfaDevices

    • iam:ListOpenIdConnectProviders

    • iam:ListPolicies

    • iam:ListPolicyVersions

    • iam:ListRolePolicies

    • iam:ListRoles

    • iam:ListSamlProviders

    • iam:ListUserPolicies

    • iam:ListUsers

    • iam:ListVirtualMFADevices

    • kafka:ListClusters

    • kafka:ListKafkaVersions

    • kinesis:ListStreams

    • kms:DescribeKey

    • kms:GetKeyPolicy

    • kms:GetKeyRotationStatus

    • kms:ListGrants

    • kms:ListKeyPolicies

    • kms:ListKeys

    • lambda:ListFunctions

    • license-manager:ListAssociationsForLicenseConfiguration

    • license-manager:ListLicenseConfigurations

    • license-manager:ListUsageForLicenseConfiguration

    • logs:DescribeDestinations

    • logs:DescribeExportTasks

    • logs:DescribeLogGroups

    • logs:DescribeMetricFilters

    • logs:DescribeResourcePolicies

    • logs:FilterLogEvents

    • logs:GetDataProtectionPolicy

    • organizations:DescribeOrganization

    • organizations:DescribePolicy

    • rds:DescribeCertificates

    • rds:DescribeDBClusterEndpoints

    • rds:DescribeDBClusterParameterGroups

    • rds:DescribeDBClusters

    • rds:DescribeDBInstances

    • rds:DescribeDBInstanceAutomatedBackups

    • rds:DescribeDBSecurityGroups

    • redshift:DescribeClusters

    • redshift:DescribeClusterSnapshots

    • redshift:DescribeLoggingStatus

    • route53:GetQueryLoggingConfig

    • s3:GetBucketAcl

    • s3:GetBucketLogging

    • s3:GetBucketOwnershipControls

    • s3:GetBucketPolicy

      • Cette API action fonctionne dans le cadre de l' Compte AWS endroit où elle service-linked-role est disponible. Elle ne peut pas accéder aux politiques de compartiments intercompte.

    • s3:GetBucketPublicAccessBlock

    • s3:GetBucketTagging

    • s3:GetBucketVersioning

    • s3:GetEncryptionConfiguration

    • s3:GetLifecycleConfiguration

    • s3:ListAllMyBuckets

    • sagemaker:DescribeAlgorithm

    • sagemaker:DescribeDomain

    • sagemaker:DescribeEndpoint

    • sagemaker:DescribeEndpointConfig

    • sagemaker:DescribeFlowDefinition

    • sagemaker:DescribeHumanTaskUi

    • sagemaker:DescribeLabelingJob

    • sagemaker:DescribeModel

    • sagemaker:DescribeModelBiasJobDefinition

    • sagemaker:DescribeModelCard

    • sagemaker:DescribeModelQualityJobDefinition

    • sagemaker:DescribeTrainingJob

    • sagemaker:DescribeUserProfile

    • sagemaker:ListAlgorithms

    • sagemaker:ListDomains

    • sagemaker:ListEndpointConfigs

    • sagemaker:ListEndpoints

    • sagemaker:ListFlowDefinitions

    • sagemaker:ListHumanTaskUis

    • sagemaker:ListLabelingJobs

    • sagemaker:ListModels

    • sagemaker:ListModelBiasJobDefinitions

    • sagemaker:ListModelCards

    • sagemaker:ListModelQualityJobDefinitions

    • sagemaker:ListMonitoringAlerts

    • sagemaker:ListMonitoringSchedules

    • sagemaker:ListTrainingJobs

    • sagemaker:ListUserProfiles

    • securityhub:DescribeStandards

    • secretsmanager:DescribeSecret

    • secretsmanager:ListSecrets

    • sns:ListTagsForResource

    • sns:ListTopics

    • sqs:ListQueues

    • waf-regional:GetLoggingConfiguration

    • waf-regional:GetRule

    • waf-regional:GetWebAcl

    • waf-regional:ListRuleGroups

    • waf-regional:ListRules

    • waf-regional:ListSubscribedRuleGroups

    • waf-regional:ListWebACLs

    • waf:GetRule

    • waf:GetRuleGroup

    • waf:ListActivatedRulesInRuleGroup

    • waf:ListRuleGroups

    • waf:ListRules

    • waf:ListWebAcls

    • wafv2:ListWebAcls

    Note

    Pour plus d'informations sur les API appels spécifiques qu'Audit Manager peut décrire, consultezAppels d’API pris en charge pour les sources de données de contrôle personnalisées.

Pour consulter les détails complets des autorisations du rôle lié au serviceAWSServiceRoleForAuditManager, consultez le Guide AWSAuditManagerServiceRolePolicyde référence des politiques AWS gérées.

Vous devez configurer les autorisations pour autoriser une IAM entité (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le Guide de l'IAMutilisateur.

Création du rôle lié à AWS Audit Manager un service

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous l'activez AWS Audit Manager, le service crée automatiquement le rôle lié au service pour vous. Vous pouvez activer Audit Manager depuis la page d'accueil du AWS Management Console, ou via le API ou AWS CLI. Pour plus d’informations, consultez la section Activation AWS Audit Manager de ce guide.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte.

Modification du rôle lié à AWS Audit Manager un service

AWS Audit Manager ne vous permet pas de modifier le rôle AWSServiceRoleForAuditManager lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.

Pour autoriser une IAM entité à modifier la description du rôle lié à AWSServiceRoleForAuditManager un service

Ajoutez la déclaration suivante à la politique d'autorisation pour l'IAMentité qui doit modifier la description d'un rôle lié à un service.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "auditmanager.amazonaws.com"}}
}

Supprimer le rôle lié à AWS Audit Manager un service

Si vous n’utilisez plus Audit Manager, nous vous recommandons de supprimer le rôle lié à un service AWSServiceRoleForAuditManager. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer.

Nettoyage du rôle lié au service

Avant de pouvoir supprimer le rôle lié au service Audit Manager, vous devez d'abord confirmer que le rôle n'a aucune session active et supprimer toutes les ressources utilisées par le rôle. IAM Pour ce faire, assurez-vous que l'Audit Manager est complètement désenregistré. Régions AWS Après le désenregistrement, Audit Manager n’utilise plus le rôle lié au service.

Pour obtenir des instructions sur le désenregistrement d’Audit Manager, veuillez consulter les ressources suivantes :

Pour savoir comment supprimer manuellement les ressources d’Audit Manager, consultez la section Suppression des données d’Audit Manager dans ce guide.

Suppression du rôle lié à un service

Vous pouvez supprimer le rôle lié à un service à l'aide de la IAM console, du AWS Command Line Interface (AWS CLI) ou du. IAM API

IAM console

Procédez comme suit pour supprimer un rôle lié à un service dans la IAM console.

Pour supprimer un rôle lié à un service (console)

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la IAM console, sélectionnez Rôles. Sélectionnez la case à cocher en regard de AWSServiceRoleForAuditManager, et non le nom ou la ligne.

  3. Sous Actions de rôle en haut de la page, sélectionnez Supprimer.

  4. Dans la boîte de dialogue de confirmation, vérifiez les dernières informations consultées, indiquant le moment où chacun des rôles sélectionnés a accédé en dernier à un Service AWS. Cela vous permet de confirmer si le rôle est actif actuellement. Si vous souhaitez continuer, saisissez AWSServiceRoleForAuditManager dans le champ à renseigner, et choisissez Supprimer pour lancer la suppression du rôle lié au service.

  5. Regardez les notifications de la IAM console pour suivre la progression de la suppression des rôles liés au service. La suppression du rôle IAM lié au service étant asynchrone, une fois que vous avez soumis le rôle pour suppression, la tâche de suppression peut réussir ou échouer. Si la tâche réussit, le rôle est supprimé de la liste et une notification de succès s’affiche en haut de la page.

AWS CLI

Vous pouvez utiliser IAM les commandes du AWS CLI pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (AWS CLI)

  1. Saisissez la commande suivante pour répertorier le rôle dans votre compte : 

    aws iam get-role --role-name AWSServiceRoleForAuditManager

  2. Un rôle lié à un service ne pouvant pas être supprimé s’il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas remplies. Vous devez capturer le deletion-task-id de la réponse afin de vérifier l’état de la tâche de suppression.

    Saisissez la commande suivante pour envoyer une demande de suppression d’un rôle lié à un service :

    aws iam delete-service-linked-role --role-name AWSServiceRoleForAuditManager

  3. Saisissez la commande suivante pour vérifier l’état de la tâche de suppression :

    aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    L’état de la tâche de suppression peut être NOT_STARTED, IN_PROGRESS, SUCCEEDED ou FAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

IAM API

Vous pouvez utiliser le IAM API pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service () API

  1. Appelez GetRolepour répertorier le rôle dans votre compte. Dans la demande, spécifiez AWSServiceRoleForAuditManager en tant que RoleName.

  2. Un rôle lié à un service ne pouvant pas être supprimé s’il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas remplies. Vous devez capturer le DeletionTaskId de la réponse afin de vérifier l’état de la tâche de suppression.

    Pour soumettre une demande de suppression pour un rôle lié à un service, appelez. DeleteServiceLinkedRole Dans la demande, spécifiez AWSServiceRoleForAuditManager en tant que RoleName.

  3. Pour vérifier l'état de la suppression, appelez GetServiceLinkedRoleDeletionStatus. Dans la demande, spécifiez le DeletionTaskId.

    L’état de la tâche de suppression peut être NOT_STARTED, IN_PROGRESS, SUCCEEDED ou FAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

Conseils pour supprimer le rôle lié au service Audit Manager

Le processus de suppression du rôle lié au service Audit Manager peut échouer si Audit Manager utilise le rôle ou dispose de ressources associées. Cela peut se produire dans les scénarios suivants :

  1. Votre compte est toujours enregistré auprès d'Audit Manager dans un ou plusieurs comptes Régions AWS.

  2. Votre compte fait partie d'une AWS organisation, et le compte de gestion ou le compte d'administrateur délégué est toujours intégré à Audit Manager.

Pour résoudre un problème de suppression ayant échoué, commencez par vérifier si vous Compte AWS faites partie d'une organisation. Vous pouvez le faire en appelant l'DescribeOrganizationAPIopération ou en accédant à la AWS Organizations console.

Si vous Compte AWS faites partie d'une organisation

  1. Utilisez votre compte de gestion pour supprimer votre administrateur délégué dans Audit Manager partout Régions AWS où vous en avez ajouté un.

  2. Utilisez votre compte de gestion pour désenregistrer Audit Manager dans tous les Régions AWS endroits où vous avez utilisé le service.

  3. Réessayez de supprimer le rôle lié au service en suivant les étapes de la procédure précédente.

Si vous Compte AWS ne faites pas partie d'une organisation

  1. Assurez-vous d'avoir désenregistré Audit Manager dans tous les Régions AWS endroits où vous avez utilisé le service.

  2. Réessayez de supprimer le rôle lié au service en suivant les étapes de la procédure précédente.

Une fois que vous vous êtes désinscrit d'Audit Manager, le service cesse d'utiliser le rôle lié au service. Vous pouvez ensuite supprimer le rôle avec succès.

Régions prises en charge pour les rôles AWS Audit Manager liés à un service

AWS Audit Manager prend en charge l'utilisation de rôles liés au service partout Régions AWS où le service est disponible. Pour plus d’informations, consultez Points de terminaison du service AWS.