Passer vos droits d’accès en revue

Vous pouvez passer en revue les droits d’accès de votre compte et de vos utilisateurs EIM avec l’outil UAR (User Access-Rights Review) d’OUTSCALE. UAR vous permet d’obtenir un inventaire détaillé des politiques gérées et/ou incluses appliquées à votre compte racine et vos utilisateurs EIM, ainsi que les requêtes API et les ressources concernées.

Utiliser UAR

Avant de commencer : Installez l’outil UAR. Voir le dépôt GitHub de UAR.

Authentification

UAR nécessite trois paramètres obligatoires pour l’authentification :

  • l’ID de votre access key,

  • la secret key correspondante,

  • la région dans laquelle se trouve votre compte.

Les identifiants utilisés peuvent être ceux de votre compte racine ou ceux d’un utilisateur EIM ayant un droit de lecture étendu.

Vous pouvez ajouter ces trois paramètres directement dans la ligne de commande, à la suite de la commande de base :

Exemple de requête
$ uar --osc-access-key ABCDEFGHIJ0123456789 --osc-secret-key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX --osc-region eu-west-2

Vous pouvez également configurer ces paramètres comme des variables d’environnement, afin de ne plus avoir à les ajouter à la commande à chaque fois :

Exemple de requête
$ export OSC_ACCESS_KEY=ABCDEFGHIJ0123456789
$ export OSC_SECRET_KEY=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
$ export OSC_REGION=eu-west-2

Commande de base

Pour passer en revue les droits d’accès de votre compte racine et de vos utilisateurs EIM, utilisez la commande uar :

Exemple de requête
$ uar

La commande renvoie un inventaire détaillé de toutes les politiques gérées et/ou incluses appliquées à votre compte et vos utilisateurs EIM. Cet inventaire liste les actions autorisées et les actions interdites par la politique, et les ressources concernées par ces actions. Pour en savoir plus sur le contenu d’une politique EIM, voir Éléments des politiques EIM.

Toute action qui n’est pas explicitement autorisée est interdite (refus implicite). Si Allow et Deny existent simultanément, Deny a priorité sur Allow (refus explicite).

Par défaut, les rapports sont sauvegardés dans le répertoire courant avec les fichiers suivants :

  • uar_report.csv

  • uar_report.json

  • uar_report.cypher

Options

Vous pouvez ajouter plusieurs éléments à la commande basique :

  • Vous pouvez filtrer les informations renvoyées par ID d’utilisateur et/ou ID de ressource.

    Exemple de requête
    $ uar --osc-user-id 123456789000 --osc-resource-id vol-123456

  • Vous pouvez customiser le chemin de sortie et le nom des fichiers (par défaut : uar_report).

    Exemple de requête
    $ uar --report-path /reports/my_custom_report

  • Vous pouvez limiter le nombre de ressources montrées dans la CLI (par défaut : 10).

    Exemple de requête
    $ uar --max-resources-display-on-cli 5

Pages connexes

Exporter en PDF