Ajuste de permisos en AWS con información sobre los últimos accesos - AWS Identity and Access Management

Ajuste de permisos en AWS con información sobre los últimos accesos

Como administrador, puede conceder permisos a recursos de IAM (roles, usuarios, grupos de usuarios o políticas) más allá de lo que necesitan. IAM proporciona información sobre los últimos accesos, lo que puede ayudarle a identificar los permisos que no se han utilizado para eliminarlos. Puede utilizar la información sobre los últimos accesos para perfeccionar las políticas y permitir el acceso exclusivo a los servicios y acciones que las identidades y políticas de IAM utilizan. Esto le ayudará a cumplir mejor las prácticas recomendadas del principio de privilegio mínimo. Puede consultar la información sobre los últimos accesos de identidades o políticas existentes en IAM o AWS Organizations.

Puede supervisar continuamente la información a la que se accedió por última vez con analizadores de acceso no utilizados. Para obtener más información, consulte Resultados de acceso externo y no utilizado.

Tipos de información para IAM sobre los últimos accesos

Puede ver dos tipos de información sobre los últimos accesos para las identidades de IAM: información sobre los servicios de AWS permitidos e información sobre las acciones permitidas. Esta información incluye la fecha y la hora en las que se intentó acceder a la API de AWS. En el caso de las acciones, la información sobre los últimos accesos brinda información sobre las acciones de administración del servicio. Las acciones de la gerencia incluyen la creación, eliminación y modificación de acciones. Para conocer más acerca de cómo ver la información de IAM sobre los últimos accesos, consulte Ver la información a la que se tuvo acceso por última vez correspondiente a IAM.

Si desea ver escenarios de ejemplo en los que la información sobre los últimos accesos se utiliza para tomar decisiones sobre los permisos concedidos a las identidades de IAM, consulte Ejemplos de escenarios sobre el uso de información de acceso reciente.

Para obtener más información acerca de cómo se suministra la información sobre las acciones de administración, consulte Cosas que debe saber sobre la información de acceso reciente.

Información de acceso reciente de AWS Organizations

Si inicia sesión con las credenciales de la cuenta de administración, podrá ver información sobre los últimos accesos a servicios de una política o entidad de AWS Organizations de la organización. Las entidades de AWS Organizations pueden ser cuentas, unidades organizativas o la raíz de la organización. En la información de acceso reciente de AWS Organizations, se incluyen los servicios permitidos por una política de control de servicios (SCP). Esta información indica qué entidades principales (usuario raíz, usuario de IAM o rol) en una organización o cuenta intentaron acceder por última vez al servicio, además de cuándo lo hicieron. Para obtener más información sobre el informe y cómo consultar la información de AWS Organizations sobre acceso reciente, consulte Ver la información a la que se tuvo acceso por última vez correspondiente a Organizaciones.

Si desea ver escenarios de ejemplo en los que la información de acceso reciente se utiliza para tomar decisiones sobre los permisos concedidos a las entidades de Organizations, consulte Ejemplos de escenarios sobre el uso de información de acceso reciente.

Cosas que debe saber sobre la información de acceso reciente

Antes de utilizar la información de un informe sobre los últimos accesos para modificar los permisos de una identidad de IAM o entidad de Organizations, revise los siguientes detalles sobre la información.

  • Periodo de seguimiento: la actividad reciente aparece en la consola de IAM dentro de las cuatro horas. El periodo de seguimiento de la información sobre los servicios es de al menos 400 días, dependiendo de cuándo el servicio comenzó el seguimiento de la información sobre las acciones. El periodo de seguimiento de la información de las acciones de Amazon S3 comenzó el 12 de abril de 2020. El período de seguimiento de las acciones de Amazon EC2, IAM y Lambda comenzó el 7 de abril de 2021. El periodo de seguimiento de todos los demás servicios comenzó el 23 de mayo de 2023. Para ver una lista de los servicios sobre los que hay disponible información sobre los últimos accesos a la acción, consulte Servicios y acciones de la información sobre los últimos accesos a la acción de IAM. Para obtener más información sobre las regiones en las que hay disponible información sobre los últimos accesos a la acción, consulte Dónde AWS se hace un seguimiento de la información de acceso reciente.

  • Intentos informados: los datos de los últimos servicios a los que se ha accedido incluyen todos los intentos de acceso a una API de AWS, no solo los intentos que hayan funcionado. Esto incluye todos los intentos que se realizaron mediante la AWS Management Console, la API de AWS a través de cualquiera de los SDK, o cualquiera de las herramientas de la línea de comandos. Una entrada inesperada en los datos de los últimos servicios a los que se ha accedido no significa que su cuenta se haya visto comprometida, ya que puede haberse denegado la solicitud. Consulte los logs de CloudTrail, como la fuente autorizada de información sobre todas las llamadas a la API, y si funcionaron o se les denegó el acceso.

  • PassRole: no se realiza ningún seguimiento de la acción iam:PassRole y esta acción no se incluye en la información de IAM sobre los últimos accesos.

  • Información sobre los últimos accesos a la acción: la información sobre los últimos accesos a la acción está disponible para las acciones de administración de servicios a las que acceden las identidades de IAM. Consulte la lista de servicios y sus acciones sobre los que se informa acerca de la acción a la que se accedió por última vez.

    nota

    La información sobre los últimos accesos a la acción no está disponible para los eventos de datos de Amazon S3.

  • Eventos de administración: IAM proporciona información sobre acciones para los eventos de administración de servicios que CloudTrail registra. A veces, los eventos de administración de CloudTrail también se denominan «operaciones de plano de control» o «eventos de plano de control». Los eventos de administración proporcionan visibilidad sobre las operaciones administrativas que se realizan en los recursos de su Cuenta de AWS. Para obtener más información sobre los eventos de administración en CloudTrail, consulte Registro de eventos de administración en la Guía del usuario AWS CloudTrail.

  • Propietario del informe: solo la entidad principal que genera un informe puede ver los detalles del informe. Esto significa que, cuando consulte los datos en AWS Management Console, es posible que tenga que esperar a que se generen y se carguen. Si utiliza la AWS CLI o la API de AWS para obtener los detalles del informe, sus credenciales deben coincidir con las credenciales de la entidad principal que generó el informe. Si utiliza credenciales temporales para un rol o usuario federado, debe generar y recuperar el informe durante la misma sesión. Para obtener más información acerca de las entidades principales de sesión de rol asumible, consulte Elemento de la política de JSON de AWS: Principal.

  • Recursos de IAM: la información sobre los últimos accesos para IAM incluye los recursos de IAM (roles, usuarios, grupos de IAM y políticas) en su cuenta. La información sobre los últimos accesos para Organizations incluye entidades principales (usuarios de IAM, roles de IAM o Usuario raíz de la cuenta de AWS) en la entidad de Organizations especificada. La información sobre los últimos accesos no incluye los intentos no autenticados.

  • Tipos de política de IAM: la información sobre los últimos accesos para IAM incluye los servicios permitidos por las políticas de identidades de IAM. Estas son las políticas asociadas a un rol o asociadas a un usuario directamente o a través de un grupo. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en recursos, las listas de control de acceso, las SCP de AWS Organizations, los límites de permisos de IAM y las políticas de sesión. Los permisos que proporcionan los roles vinculados a servicios los define el servicio al que están vinculados y no se pueden modificar en IAM. Para obtener más información sobre los roles vinculados a servicios, consulte Creación de un rol vinculado al servicio. Si necesita información acerca de cómo se evalúan los diferentes tipos de políticas para permitir o denegar el acceso, consulte Lógica de evaluación de políticas.

  • Tipos de políticas de Organizations: la información de AWS Organizations solo incluye los servicios permitidos por las políticas de control de servicios (SCP) heredadas de la entidad de Organizations. Las SCP son políticas asociadas a una raíz, unidad organizativa o cuenta. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en identidades, las políticas basadas en recursos, las listas de control de acceso, los límites de permisos de IAM y las políticas de sesión. Para obtener información sobre cómo los diferentes tipos de políticas se evalúan para permitir o denegar el acceso, consulte Lógica de evaluación de políticas.

  • Especificación de un ID de política: cuando usa AWS CLI o la API de AWS para generar un informe con la información de acceso reciente de Organizations, si lo desea, puede especificar el ID de una política. El informe resultante contendrá información sobre los servicios que están permitidos solo en esa política. Los datos contienen la actividad más reciente registrada en la cuenta de la entidad de Organizations especificada o los elementos secundarios de la entidad. Para obtener más información, consulte aws iam generate-organizations-access-report o GenerateOrganizationsAccessReport.

  • Cuenta de gestión de Organizations - Debe iniciar sesión en la cuenta de administración de su organización para ver la última información de servicio a la que se ha accedido. Puede ver los datos de la cuenta de administración utilizando la consola de IAM, AWS CLI o la API deAWS . El informe resultante muestra una lista de todos los servicios de AWS, ya que la cuenta de administración no se está limitada por SCP. Si especifica un ID de política en la CLI o la API, la política no se tiene en cuenta. En cada servicio, el informe incluye únicamente la información de la cuenta maestra. Sin embargo, los informes de otras entidades de Organizations no devuelven información sobre la actividad de la cuenta de administración.

  • Configuración de Organizations: un administrador debe habilitar SCP en su raíz de la organización antes de que pueda generar datos para Organizations.

Permisos necesarios

Para poder ver la información de acceso reciente en AWS Management Console, debe tener una política que conceda los permisos necesarios.

Permisos para información de IAM

Si desea utilizar la consola de IAM para ver la información de acceso reciente de un usuario, rol o política de IAM, debe contar con una política que incluya las siguientes acciones:

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

Estos permisos permiten a un usuario ver lo siguiente:

  • Qué usuarios, grupos o roles están asociados a una política administrada

  • A qué servicios puede acceder un usuario o rol

  • La última vez que se accedió al servicio

  • La última vez que intentaron utilizar una acción específica de Amazon EC2, IAM, Lambda, o Amazon S3

Para poder ver la información de acceso reciente de IAM con AWS CLI o la API de AWS, debe contar con los permisos adecuados sobre la operación que desee utilizar:

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

Este ejemplo muestra cómo podría crear una política basada en identidad que permite ver la información del último acceso de IAM. Además, permite acceso de solo lectura a todas las partes de IAM. Esta política define los permisos para el acceso programático y a la consola.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }

Permisos para información de AWS Organizations

Para utilizar la consola de IAM para ver un informe de la raíz, unidad organizativa o entidades de la cuenta de Organizations, debe contar con una política que incluya las siguientes acciones:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Para utilizar la información de Organizations sobre los últimos servicios a los que se ha accedido con la AWS CLI o la API de AWS, debe tener una política que incluya las siguientes acciones:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Este ejemplo muestra cómo podría crear una política basada en identidad que permita ver la información del último acceso al servicio para las organizaciones. Además, permite acceso de solo lectura a todas las partes de Organizations. Esta política define los permisos para el acceso programático y a la consola.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }

También puede utilizar la clave de condición iam:OrganizationsPolicyId para poder generar un informe solo para una política de Organizations concreta. Para ver una política de ejemplo, consulte IAM: ver la información del último acceso al servicio para una política de Organizaciones.

Actividad de resolución de problemas de las entidades de organizaciones e IAM

En algunos casos, la tabla de información de acceso reciente de AWS Management Console podría estar vacía. O es posible que AWS CLI o la API de AWS devuelvan un conjunto de información vacío o un campo nulo. En estos casos, revise los siguientes problemas:

  • En el caso de la información sobre las últimas acciones a las que se ha accedido, es posible que la acción que espera ver no aparezca en la lista. Esto puede ocurrir porque la identidad de IAM no tiene permisos para esta acción o porque AWS aún no hace un seguimiento de la información sobre los últimos accesos a la acción.

  • Para un usuario de IAM, asegúrese de que el usuario tenga al menos una política asociada administrada o insertada, ya sea directamente o a través de suscripciones a grupos.

  • Para un grupo de IAM, verifique que el grupo tenga al menos una política asociada administrada o insertada.

  • En el caso de los grupos de IAM, el informe solo devuelve información de acceso reciente de los servicios a los que accedieron los miembros que utilizaron las políticas del grupo para acceder al servicio. Para saber si un miembro ha utilizado otras políticas, consulte la información de acceso reciente de dicho usuario.

  • Para un rol de IAM, verifique que el rol tenga al menos una política asociada administrada o insertada.

  • Para una entidad de IAM (usuario o rol), revise otros tipos de políticas que puedan afectar a los permisos de dicha entidad. Estos incluyen las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte Tipos de políticas o Evaluación de políticas para solicitudes dentro de una misma cuenta.

  • Para una política de IAM, asegúrese de que la política administrada especificada esté asociada al menos con un usuario, grupo con miembros o rol.

  • Para una entidad de Organizations (raíz, unidad organizativa o cuenta), asegúrese de que ha iniciado sesión con las credenciales de la cuenta de administración de Organizations.

  • Compruebe que las SCP están habilitadas en la raíz de su organización.

  • La información sobre los últimos accesos de acciones solo está disponible para las acciones detalladas en Servicios y acciones de la información sobre los últimos accesos a la acción de IAM.

Cuando realice los cambios, espere al menos 4 horas para que aparezca la actividad en su informe de la consola de IAM. Si utiliza AWS CLI o la API de AWS, debe generar un nuevo informe para ver la información actualizada.

Dónde AWS se hace un seguimiento de la información de acceso reciente

AWS recopila la información de acceso reciente en las regiones estándar de AWS. Si se incorporan nuevas regiones en AWS, se agregarán a la tabla siguiente y se incluirá la fecha en que AWS comenzó a hacer un seguimiento de la información en cada región:

  • Información sobre el servicio: el periodo de seguimiento para los servicios es de al menos 400 días, aunque puede ser inferior si la región comenzó a hacer seguimiento de esta característica dentro de los últimos 400 días.

  • Información sobre las acciones: el período de seguimiento de las acciones de administración de Amazon S3 comenzó el 12 de abril de 2020. El período de seguimiento de las acciones de administración de Amazon EC2, IAM y Lambda comenzó el 7 de abril de 2021. El periodo de seguimiento para las acciones de administración de todos los demás servicios comenzó el 23 de mayo de 2023. Si la fecha de seguimiento de una región es posterior al 23 de mayo de 2023, la información sobre los últimos accesos a la acción de esa región se iniciará en la fecha posterior.

Nombre de la región Región Fecha de inicio del seguimiento
Este de EE. UU. (Ohio) us-east-2 27 de octubre de 2017
Este de EE. UU. (Norte de Virginia) us-east-1 1 de octubre de 2015
Oeste de EE. UU. (Norte de California) us-west-1 1 de octubre de 2015
Oeste de EE. UU. (Oregón) us-west-2 1 de octubre de 2015
África (Ciudad del Cabo) af-south-1 22 de abril de 2020
Asia-Pacífico (Hong Kong) ap-east-1 24 de abril de 2019
Asia-Pacífico (Hyderabad) ap-south-2 22 de noviembre de 2022
Asia-Pacífico (Yakarta) ap-southeast-3 13 de diciembre de 2021
Asia-Pacífico (Melbourne) ap-southeast-4 23 de enero de 2023
Asia-Pacífico (Bombay) ap-south-1 27 de junio de 2016
Asia-Pacífico (Osaka) ap-northeast-3 11 de febrero de 2018
Asia-Pacífico (Seúl) ap-northeast-2 6 de enero de 2016
Asia-Pacífico (Singapur) ap-southeast-1 1 de octubre de 2015
Asia-Pacífico (Sídney) ap-southeast-2 1 de octubre de 2015
Asia-Pacífico (Tokio) ap-northeast-1 1 de octubre de 2015
Canadá (Central) ca-central-1 28 de octubre de 2017
Europa (Frankfurt) eu-central-1 1 de octubre de 2015
Europa (Irlanda) eu-west-1 1 de octubre de 2015
Europa (Londres) eu-west-2 28 de octubre de 2017
Europa (Milán) eu-south-1 28 de abril de 2020
Europa (París) eu-west-3 18 de diciembre de 2017
Europa (España) eu-south-2 15 de noviembre de 2022
Europa (Estocolmo) eu-north-1 12 de diciembre de 2018
Europa (Zúrich) eu-central-2 8 de noviembre de 2022
Israel (Tel Aviv) il-central-1 1 de agosto de 2023
Medio Oriente (Baréin) me-south-1 29 de julio de 2019
Medio Oriente (EAU) me-central-1 30 de agosto de 2022
América del Sur (São Paulo) sa-east-1 11 de diciembre de 2015
AWS GovCloud (Este de EE. UU.) us-gov-este-1 1 de julio de 2023
AWS GovCloud (Oeste de EE. UU.) us-gov-oeste-1 1 de julio de 2023

Si una Región no aparece en la tabla anterior, significa que esa Región aún no proporciona información sobre el último acceso.

Una región de AWS es una colección de recursos de AWS que se encuentran en un área geográfica. Las regiones se agrupan en particiones. Las regiones estándar son las regiones que pertenecen a la partición aws. Para obtener más información de las distintas particiones, consulte este artículo sobre el formato de los nombres de recurso de Amazon (ARN) en la Referencia general de AWS. Para obtener más información sobre las regiones, consulte Acerca de las regiones de AWS, también en la Referencia general de AWS.