Comprobaciones de políticas personalizadas del Analizador de acceso de IAM - AWS Identity and Access Management
Cómo funcionan las comprobaciones de políticas personalizadasConsulte los ejemplos de políticas para comprobar si hay nuevos accesosInspeccionar las comprobaciones de políticas personalizadas fallidasValidación de políticas con comprobaciones de políticas personalizadas (consola)Validación de políticas con comprobaciones de políticas personalizadas (AWS CLI o API)

Comprobaciones de políticas personalizadas del Analizador de acceso de IAM

Puede validar sus políticas con respecto a los estándares de seguridad especificados mediante las AWS Identity and Access Management Access Analyzer comprobaciones de políticas personalizadas del Analizador de acceso de IAM. Puede ejecutar los siguientes tipos de comprobaciones de políticas personalizadas:

  • Comparación con una política de referencia: al editar una política, puede comprobar si la política actualizada concede nuevos accesos en comparación con una política de referencia, como una versión existente de la política. Puede ejecutar esta comprobación al editar una política con AWS Command Line Interface (AWS CLI), API del Analizador de acceso de IAM (API) de o editor de políticas JSON en la consola de IAM.

  • Comparación con una lista de recursos y acciones de IAM: puede asegurarse de que su política no permita recursos ni acciones de IAM específicas. Si solo se especifican las acciones, IAM Access Analyzer comprueba el acceso de las acciones a todos los recursos de la política. Si solo se especifican los recursos, IAM Access Analyzer comprueba qué acciones tienen acceso a los recursos especificados. Si se especifican tanto las acciones como los recursos, IAM Access Analyzer comprueba cuáles de las acciones especificadas tienen acceso a los recursos especificados. Puede ejecutar esta comprobación al crear o editar una política con la AWS CLI o API.

  • Comprobación del acceso público: puede comprobar si una política de recursos puede conceder el acceso público a un tipo de recurso específico. Puede ejecutar esta comprobación al crear o editar una política con la AWS CLI o API. Este tipo de verificación de políticas personalizada difiere de la vista previa del acceso porque no requiere ningún contexto del analizador de acceso externo o de cuenta. Las vistas previas del acceso permiten obtener una vista previa de los resultados del IAM Access Analyzer antes de implementar los permisos de los recursos, mientras que la verificación personalizada determina si una política puede conceder el acceso público.

Se asocia un cargo a cada comprobación de política personalizada. Para obtener más información sobre los precios, consulte los precios del Analizador de acceso de IAM.

Cómo funcionan las comprobaciones de políticas personalizadas

Puede ejecutar verificaciones de políticas personalizadas en políticas basadas en identidades y políticas basadas en recursos. Las comprobaciones de políticas personalizadas no se basan en técnicas de coincidencia de patrones ni en el examen de los registros de acceso para determinar si una política permite un acceso nuevo o específico. Al igual que los resultados sobre el acceso externo, las comprobaciones de políticas personalizadas se basan en Zelkova. Zelkova traduce las políticas de IAM en declaraciones lógicas equivalentes, y ejecuta un conjunto de solucionadores lógicos de uso general y especializados (teorías de módulo de satisfacibilidad) frente al problema. Para comprobar si hay un acceso nuevo o especificado, el Analizador de acceso de IAM aplica Zelkova repetidas veces a una política. Las consultas se vuelven cada vez más específicas para caracterizar las clases de comportamientos que permite la política en función del contenido de la política. Para más información sobre las teorías modulares de la satisfabilidad, consulte Teorías modulares de la satisfabilidad.

En raras ocasiones, el Analizador de acceso de IAM no es capaz de determinar completamente si una declaración de política concede un acceso nuevo o especificado. En esos casos, se equivoca al declarar un falso positivo al no pasar la comprobación de la política personalizada. El Analizador de acceso de IAM está diseñado para proporcionar una evaluación completa de las políticas y se esfuerza por minimizar los falsos negativos. Este enfoque significa que el Analizador de acceso de IAM ofrece un alto grado de seguridad de que una verificación aprobada significa que la política no ha concedido el acceso. Puede inspeccionar manualmente las comprobaciones fallidas consultando la declaración de política que figura en la respuesta del Analizador de acceso de IAM.

Consulte los ejemplos de políticas para comprobar si hay nuevos accesos

Puede encontrar ejemplos de políticas de referencia y aprender a configurar y ejecutar una comprobación de políticas personalizada para nuevos accesos en el repositorio de ejemplos de comprobaciones de políticas personalizadas del Analizador de acceso de IAM en GitHub.

Antes de usar estos ejemplos

Antes de usar estos ejemplos de políticas de referencia, haga lo siguiente:

  • Revise las políticas de referencia atentamente y personalícelas para ajustarlas a sus requisitos únicos.

  • Pruebe a fondo las políticas de referencia en su entorno con los Servicios de AWS que utilice.

    Las políticas de referencia demuestran la implementación y el uso de comprobaciones de políticas personalizadas. Ellas no son destinadas a ser interpretadas como recomendaciones AWS oficiales o prácticas óptimas que se apliquen exactamente como se indica. Es su responsabilidad probar cuidadosamente las políticas de referencia para comprobar su idoneidad para resolver los requisitos de seguridad de su entorno.

  • En su análisis, las comprobaciones de políticas personalizadas son independientes del entorno. Su análisis solo considera la información contenida en las políticas de entrada. Por ejemplo, las comprobaciones de políticas personalizadas no pueden comprobar si una cuenta es miembro de una AWS organización específica. Por lo tanto, las comprobaciones de políticas personalizadas no pueden comparar los nuevos accesos en función de los valores de las claves para las aws:PrincipalOrgId y las aws:PrincipalAccount claves de condición

Inspeccionar las comprobaciones de políticas personalizadas fallidas

Cuando se produce un error en una comprobación de una política personalizada, la respuesta del Analizador de acceso de IAM incluye el identificador (Sid) de la declaración de política que provocó el error en la comprobación. Aunque el ID de la declaración es un elemento de política opcional, le recomendamos que agregue un ID de declaración para cada declaración de política. La comprobación de política personalizada también devuelve un índice de la declaración para ayudar a identificar el motivo del error de la comprobación. El índice de declaraciones sigue una numeración basada en cero, donde se hace referencia a la primera sentencia como 0. Cuando hay varias declaraciones que provocan un error en una comprobación, la comprobación devuelve solo un identificador de sentencia a la vez. Le recomendamos que corrija la afirmación resaltada en el motivo y vuelva a ejecutar la comprobación hasta que se apruebe.

Validación de políticas con comprobaciones de políticas personalizadas (consola)

Como paso opcional, puede ejecutar una verificación de políticas personalizada al editar una política en el editor de políticas JSON en la consola de IAM. Puede comprobar si la política actualizada concede nuevos accesos en comparación con la versión existente.

Para comprobar si hay nuevos accesos al editar las políticas JSON de IAM

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Políticas.

  3. En la lista de políticas, seleccione el nombre de la política que desea editar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

  4. Seleccione la pestaña Permisos y, a continuación, Editar.

  5. Elija la opción JSON y actualice su política.

  6. En el panel de validación de políticas situado debajo de la política, elija la pestaña Comprobar acceso nuevo y, a continuación, elija Comprobar política. Si los permisos modificados otorgan un nuevo acceso, la declaración aparecerá resaltada en el panel de validación de la política.

  7. Si no tiene intención de conceder un nuevo acceso, actualice la declaración de política y elija Comprobar la política hasta que no se detecte ningún acceso nuevo.

    nota

    Se aplica un cargo a cada verificación de acceso nuevo. Para obtener más información sobre los precios, consulte los precios del Analizador de acceso de IAM.

  8. Elija Siguiente.

  9. En la página Revisar y guardar, revise los Permisos definidos en esta política y, a continuación, elija Guardar cambios.

Validación de políticas con comprobaciones de políticas personalizadas (AWS CLI o API)

Puede ejecutar comprobaciones de políticas personalizadas del Analizador de acceso de IAM desde la API del Analizador de acceso de IAM AWS CLI o desde esta.

Ejecutar comprobaciones de políticas personalizadas del Analizador de acceso de IAM (AWS CLI)

  • Para comprobar si se permite un nuevo acceso a una política actualizada en comparación con la política existente, ejecute el siguiente comando: check-no-new-access

  • Para comprobar si una política no permite el acceso especificado, ejecute el siguiente comando: check-access-not-granted

  • Para comprobar si una política de recursos puede conceder acceso público a un tipo de recurso específico, ejecute el siguiente comando: check-no-public-access

Ejecutar comprobaciones de políticas personalizadas del Analizador de acceso de IAM (API)

  • Para comprobar si se permite un nuevo acceso a una política actualizada en comparación con la política existente, utilice la operación de API CheckNoNewAccess.

  • Para comprobar si una política no permite el acceso especificado, utilice la operación de API CheckAccessNotGranted.

  • Para comprobar si una política de recursos puede conceder acceso público a un tipo de recurso específico, utilice la operación de la API CheckNoPublicAccess.