Resultados de acceso externo y no utilizado - AWS Identity and Access Management

Resultados de acceso externo y no utilizado

El Analizador de acceso de IAM genera resultados sobre el acceso externo y no utilizado en la Cuenta de AWS u organización. Para acceso externo, el Analizador de acceso de IAM genera un resultado para cada instancia de una política basada en recursos que concede a un recurso dentro de su zona de confianza a una entidad principal que no está dentro de su zona de confianza. Cuando crea un analizador de acceso externo, elige una organización o Cuenta de AWS para analizar. Cualquier entidad principal de la organización o cuenta que elija para el analizador se considera de confianza. Dado que las entidades principales de la misma organización o cuenta son de confianza, los recursos y las entidades principales de la organización o cuenta comprenden la zona de confianza del analizador. Cualquier uso compartido que esté dentro de la zona de confianza se considera seguro, por lo que el Analizador de acceso de IAM no genera un resultado. Por ejemplo, si selecciona una organización como zona de confianza para un analizador, todos los recursos y entidades principales de la organización se encuentran dentro de la zona de confianza. Si concede permisos a bucket de Amazon S3 en una de las cuentas de miembro de la organización a una entidad principal en otra cuenta de miembro de la organización, el Analizador de acceso de IAM no genera un resultado. Pero si concede permiso a una entidad principal de una cuenta que no es miembro de la organización, el Analizador de acceso de IAM genera un resultado.

El Analizador de acceso de IAM también genera resultados sobre el acceso concedido no utilizado en la organización de AWS. Cuando crea un analizador de acceso no utilizado, el Analizador de acceso de IAM supervisa continuamente todos los usuarios y roles de IAM en AWS de la organización y las cuentas, y genera resultados sobre el acceso no utilizado. El Analizador de acceso de IAM genera los siguientes tipos de resultados para el acceso no utilizado:

  • Roles no utilizados: roles sin actividad de acceso dentro del período de uso especificado.

  • Claves de acceso y contraseñas no utilizadas de usuarios de IAM: credenciales que pertenecen a usuarios de IAM que no se han utilizado para acceder a la Cuenta de AWS en el periodo de uso especificado.

  • Permisos no utilizados: permisos de nivel de servicio y de nivel de acción que un rol no utilizó dentro del período de uso especificado. El Analizador de acceso de IAM utiliza políticas basadas en la identidad asociadas a los roles para determinar los servicios y las acciones a los que pueden acceder esos roles. El Analizador de acceso de IAM permite revisar los permisos no utilizados para todos los permisos de nivel de servicio. Para obtener una lista completa de los permisos de nivel de acción que se admiten para resultados de acceso no utilizado, consulte Servicios y acciones de la información sobre los últimos accesos a la acción de IAM.

nota

El Analizador de acceso de IAM ofrece resultados de acceso externo gratuitos y cobra por los resultados de acceso no utilizado en función del número de usuarios y roles de IAM analizados por el analizador por mes. Para obtener más información sobre los precios, consulte los precios del Analizador de acceso de IAM.

Temas