Revisión de los resultados del Analizador de acceso de IAM - AWS Identity and Access Management
Resultados de acceso externoResultados de acceso sin utilizar

Revisión de los resultados del Analizador de acceso de IAM

Después de habilitar el Analizador de acceso de IAM, el siguiente paso consiste en revisar los resultados para determinar si el acceso identificado en el resultado es intencionado o no. También puede revisar los resultados para determinar resultados similares de acceso que se pretende y, a continuación, crear una regla de archivo para archivar dichos resultados automáticamente. También puede revisar los resultados archivados y resueltos.

Debe revisar todos los resultados de su cuenta para determinar si el uso compartido está previsto y aprobado. Si el acceso externo o no utilizado identificado en el resultado es esperado, puede archivar el resultado. Al archivar un resultado, el estado cambia a Archivado y el resultado se elimina de la lista de resultados Activos. El resultado no se elimina. Puede ver sus resultados archivados en cualquier momento. Examine todos los resultados de su cuenta hasta que no quede ningún resultado activo. Después de llegar a cero resultados, sabrá que cualquier nuevo resultado activo que se genere proviene de un cambio reciente en su entorno.

Para revisar los resultados

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Analizador de acceso.

  3. Se muestra el panel de resultados. Seleccione los resultados activos para el analizador de acceso externo o no utilizado.

    Para obtener más información sobre la vista de resultados, consulte Ver el panel de resultados del Analizador de acceso de IAM.

nota

Los resultados solo se muestran si tiene permiso para ver los resultados del analizador.

Todos los resultados se muestran para el analizador. Para ver otros resultados generados por el analizador, elija el tipo de resultado adecuado en el menú desplegable Estado:

  • Seleccione Activo para ver todos los resultados activos generados por el analizador.

  • Seleccione Archivado para ver solo los resultados generados por el analizador que se han archivado. Para obtener más información, consulte Archivo de resultados en el Analizador de acceso de IAM.

  • Elija Resuelto para ver solo los resultados generados por el analizador que se han resuelto. Cuando solucione el problema que generó el resultado, el estado del resultado cambia a Resuelto.

    importante

    Los resultados resueltos se eliminan 90 días después de la última actualización del resultado. Los resultados activos y archivados no se eliminan a menos que elimine el analizador que los generó.

  • Seleccione Todos para ver todos los resultados con cualquier estado generados por el analizador.

Resultados de acceso externo

Elija Acceso externo y, a continuación, elija el analizador de acceso externo en el menú desplegable Ver analizador. En la página Resultados de los analizadores de acceso externo, se muestra la siguiente información sobre el recurso compartido y la declaración de política que generó el resultado:

ID del resultado

El ID único asignado al resultado. Elija el ID del resultado para mostrar detalles adicionales sobre el recurso y la declaración de política que generó el resultado.

Recurso

Tipo y nombre parcial del recurso que tiene aplicada una política que concede acceso a una entidad externa que no esté dentro de la zona de confianza.

Cuenta del propietario del recurso

Esta columna solo se muestra si utiliza una organización como zona de confianza. La cuenta de la organización que posee el recurso notificado en el resultado.

Entidad principal externa

La entidad principal, que no está dentro de su zona de confianza, al que la política analizada concede acceso. Los valores válidos son:

  • Cuenta de AWS: todas las entidades principales en la Cuenta de AWS enumerada con permisos desde dicha cuenta de administrador pueden acceder al recurso.

  • Cualquier entidad principal: Todas las entidades principales de cualquier Cuenta de AWS que cumplen las condiciones incluidas en la columna Condiciones tienen permiso para acceder al recurso. Por ejemplo, si aparece una VPC, significa que cualquier entidad principal de cualquier cuenta que tenga permiso para acceder a la VPC enumerada puede tener acceso al recurso.

  • Usuario canónico: todas las entidades principales en la Cuenta de AWS con el ID de usuario canónico enumerado tienen permiso para acceder al recurso.

  • Rol de IAM: el rol de IAM enumerado tiene permiso para acceder al recurso.

  • Usuario de IAM: el usuario de IAM tiene permiso para acceder al recurso.

Condición

La condición de la declaración de política que concede el acceso. Por ejemplo, si el campo Condición incluye VPC de origen, significa que el recurso se comparte con una entidad principal que tiene acceso al VPC enumerado. Las condiciones pueden ser globales o específicas del servicio. Las claves de condición globales tienen el prefijo aws:.

Compartido a través de

El campo Compartido a través de indica cómo se concede el acceso que generó el resultado. Los valores válidos son:

  • Política de bucket: la política de bucket asociada al bucket de Amazon S3.

  • Lista de control de acceso: lista de control de acceso (ACL) asociado al bucket de Amazon S3.

  • Punto de acceso: punto de acceso o punto de acceso de región múltiple asociado al bucket de Amazon S3. El ARN del punto de acceso se muestra en los detalles de los resultados.

Nivel de acceso

El nivel de acceso concedido a la entidad externa por las acciones de la política basada en recursos. Vea los detalles del resultado para obtener más información. Los valores de nivel de acceso incluyen lo siguiente:

  • Enumerar: Permiso para enumerar los recursos dentro del servicio para determinar si existe un objeto. Las acciones con este nivel de acceso pueden enumerar objetos pero no pueden ver el contenido de un recurso.

  • Leer: Permiso para leer, pero no editar, el contenido y los atributos de los recursos del servicio.

  • Escribir: Permiso para crear, eliminar o modificar los recursos del servicio.

  • Permisos: Permiso para conceder o modificar permisos en el nivel de recursos del servicio.

  • Etiquetado: Permiso para realizar acciones que solo cambian el estado de etiquetas de recursos.

Restricción de política de control de recursos

El impacto que tiene una política de control de recursos (RCP) de Organizations en el resultado. Entre los valores de restricción de la política de control de recursos se incluyen los siguientes:

  • Error: se produjo un error al evaluar la RCP.

  • No aplicable: ninguna RCP restringe este recurso o entidad principal. Esto también incluye los recursos en los que las RCP todavía no son compatibles:

  • Aplicable: el administrador de su organización ha establecido restricciones mediante una RCP que afecta al recurso o al tipo de recurso. Póngase en contacto con el administrador de su organización para obtener más información.

Actualizado

Una marca de tiempo para la actualización más reciente del estado de resultado, o la hora y la fecha en que se generó el resultado si no se han realizado actualizaciones.

nota

Puede tardar hasta 30 minutos después de modificar una política para que el Analizador de acceso de IAM analice el recurso y, a continuación, actualice el resultado. Los cambios en una política de control de recursos (RCP) no activan un nuevo análisis del recurso que se comunicó en el resultado. El Analizador de acceso de IAM analiza la política nueva o actualizada durante el siguiente análisis periódico, que es dentro de las 24 horas.

Estado

El estado del resultado, Activo, Archivado o Resuelto.

Resultados de acceso sin utilizar

El Analizador de acceso de IAM cobra por el análisis de acceso no utilizado en función del número de usuarios y roles de IAM analizados por mes. Para obtener más información sobre los precios, consulte los precios del Analizador de acceso de IAM.

Elija Acceso no utilizado y, a continuación, elija el analizador de acceso no utilizado en el menú desplegable Ver analizador. En la página Resultados de los analizadores de acceso externo, se muestra la siguiente información sobre la entidad de IAM que generó el resultado:

ID del resultado

El ID único asignado al resultado. Elija el ID del resultado para mostrar información adicional sobre la entidad de IAM que generó el resultado.

Tipo de resultado

El tipo de resultado de acceso no utilizado: Clave de acceso no utilizado, Contraseña no utilizada, Permiso no utilizado o Rol no utilizado.

Entidad de IAM

La entidad de IAM informó en el resultado. Puede ser un rol o un usuario de IAM.

ID de Cuenta de AWS

Esta columna solo se muestra si se configura el analizador para todos los Cuentas de AWS de la organización. La Cuenta de AWS de la organización que posee la entidad de IAM notificado en el resultado.

Última actualización

La última vez que la entidad de IAM informó el resultado se actualizó o cuando se creó la entidad si no se ha realizado ninguna actualización.

Estado

El estado del resultado, (Activo, Archivado o Resuelto).