Puede utilizar la actividad de acceso registrada en AWS CloudTrail para un usuario o rol de IAM con el fin de que el Analizador de acceso de IAM genere una política administrada por el cliente para permitir el acceso solo a los servicios que necesiten usuarios y roles específicos.
Cuando el Analizador de acceso de IAM genera una política de IAM, se devuelve información para ayudarle a personalizar aún más la política. Cuando se genera una política, se pueden devolver dos categorías de información:
-
Política con información de nivel de acción: para algunos servicios de AWS, como Amazon EC2, el Analizador de acceso de IAM puede identificar las acciones encontradas en los eventos de CloudTrail y enumera las acciones utilizadas en la política que genera. Para obtener una lista de los servicios compatibles, consulte Servicios de generación de políticas del Analizador de acceso de IAM. Para algunos servicios, el Analizador de acceso de IAM le pide que agregue acciones para los servicios a la política generada.
-
Política con información de nivel de servicio: el Analizador de acceso de IAM utiliza la última información a la que se accedió para crear una plantilla de política con todos los servicios utilizados recientemente. Cuando utilice la AWS Management Console, le pedimos que revise los servicios y agregue acciones para completar la política.
Para generar una política basada en la actividad de acceso
En el siguiente procedimiento, reduciremos los permisos que se otorgan a un rol para que coincidan con el uso de un usuario. Cuando elija un usuario, elija uno cuyo uso ejemplifique el rol. Muchos clientes configuran cuentas de usuario de prueba con permisos de PowerUser y luego les piden que realicen un conjunto específico de tareas durante un periodo de tiempo breve para determinar qué acceso es necesario a fin de realizar esas tareas.
-
Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.
-
En la página principal de la consola, seleccione el servicio de IAM.
-
En el panel de navegación, seleccione Usuarios y luego el nombre de usuario para ir a la página de detalles del usuario.
-
En la pestaña Permisos, en Generar política basada en eventos de CloudTrail, seleccione Generar política.
-
En la página Generar política, configure los siguientes elementos:
-
En Seleccionar periodo de tiempo, seleccione Últimos 7 días.
-
En Rastro de CloudTrail que se va a analizar, seleccione la región y el rastro donde se debe registrar la actividad de este usuario.
-
Elija Crear y utilizar un nuevo rol de servicio.
-
-
Seleccione Generar política y espere a que se cree el rol. No actualice ni salga de la página de la consola hasta que aparezca el mensaje de notificación Generación de políticas en curso.
-
Una vez que se genere la política, debe revisarla y personalizarla según sea necesario con los ID de cuenta y los ARN de los recursos. Además, es posible que, al haberse generado de manera automática, la política no incluya la información de nivel de acción necesaria para completarla. Para obtener más información, consulte Generación de políticas del Analizador de acceso de IAM.
Por ejemplo, puede editar la primera instrucción que incluye el efecto
Allowy el elementoNotActionpara permitir únicamente acciones de Amazon EC2 y Amazon S3. Para ello, sustitúyalo por la instrucción con el IDFullAccessToSomeServices. La nueva política podría parecerse a la siguiente política de ejemplo.{ "Version": "2012-10-17", "Statement": [ { "Sid": "FullAccessToSomeServices", "Effect": "Allow", "Action": [ "ec2:*", "s3:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:DeleteServiceLinkedRole", "iam:ListRoles", "organizations:DescribeOrganization" ], "Resource": "*" } ] } -
Para apoyar la práctica recomendada de conceder privilegios mínimos, revise y corrija los errores, advertencias o sugerencias devueltos durante la validación de políticas.
-
Para reducir aún más los permisos de sus políticas a acciones y recursos específicos, vea sus eventos en el historial de eventos de CloudTrail. Aquí podrá ver información detallada acerca de las acciones y recursos específicos a los que el usuario tenga acceso. Para obtener más información, consulte Ver eventos de CloudTrail en la consola de CloudTrail en la Guía del usuario de AWS CloudTrail.
-
Una vez que haya revisado y validado la política, guárdela con un nombre descriptivo.
-
Diríjase a la página Roles y elija el rol que asumirán las personas cuando realicen las tareas permitidas por la política nueva.
-
Seleccione la pestaña Permisos, Agregar permisos y, a continuación, Asociar políticas.
-
En la página Asociar políticas de permisos, en la lista Otras políticas de permisos, seleccione la política que ha creado anteriormente, y luego Asociar políticas.
-
Volverá a la página de detalles Rol. Hay dos políticas asociadas al rol, la política administrada de AWS anterior, como PowerUserAccess, y la política nueva. Seleccione la casilla de verificación para la política administrada de AWS y, a continuación, elija Eliminar. Cuando se le pida que confirme la eliminación, seleccione Eliminar.
Ahora, los usuarios de IAM, los usuarios federados y las cargas de trabajo que asumen este rol tienen acceso reducido, de acuerdo con la política nueva que ha creado.
