Identificar los recursos compartidos con una entidad externa Identificar el acceso no utilizado otorgado a roles y usuarios de IAM Validar las políticas comparándolas con las prácticas recomendadas de AWS Validar las políticas según los estándares de seguridad especificados Generación de políticas Precios del IAM Access Analyzer

Uso de AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer ofrece las siguientes funciones:

Los analizadores de acceso externo del Analizador de acceso de IAM ayuda a identificar los recursos de su organización y sus cuentas que se comparten con una entidad externa.
Los analizadores de acceso no utilizados del Analizador de acceso de IAM ayudan a identificar el acceso no utilizado en su organización y sus cuentas.
El Analizador de acceso de IAM valida las políticas de IAM contra la gramática de las políticas y las prácticas recomendadas de AWS.
Las comprobaciones de políticas personalizadas del Analizador de acceso de IAM ayudan a validar las políticas de IAM frente a los estándares de seguridad especificados.
El Analizador de acceso de IAM genera políticas de IAM basado en la actividad de acceso de registros de AWS CloudTrail.

Identificar los recursos compartidos con una entidad externa

El Analizador de acceso de IAM le ayuda a identificar los recursos de su organización y sus cuentas, como buckets de Amazon S3 o roles de IAM, que se comparten con una entidad externa. Esto le permite identificar el acceso no deseado a sus recursos y datos, lo que constituye un riesgo para la seguridad. El Analizador de acceso de IAM identifica los recursos compartidos con entidades principales externas mediante el uso de un razonamiento lógico para analizar las políticas basadas en recursos en su entorno de AWS. Para cada instancia de un recurso compartido fuera de su cuenta, el Analizador de acceso de IAM genera un resultado. Los resultados incluyen información sobre el acceso y la entidad principal externa a la que se le concede. Puede revisar los resultados para determinar si el acceso es intencionado y seguro, o si el acceso es no intencionado y supone un riesgo para la seguridad. Además de ayudarle a identificar los recursos compartidos con una entidad externa, puede utilizar los resultados del Analizador de acceso de IAM para previsualizar cómo afecta su política al acceso público y entre cuentas a su recurso antes de implementar los permisos de recursos. Los resultados se organizan en un panel de resumen visual. El panel destaca la división entre los resultados de acceso entre cuentas y público, y proporciona un desglose de los resultados por tipo de recurso. Para obtener más información sobre los paneles, consulte Visualización del panel de resultados del Analizador de acceso de IAM.

nota

Una entidad externa puede ser otra cuenta de AWS, un usuario raíz, un usuario o rol de IAM, un usuario federado, un servicio de AWS, un usuario anónimo u otra entidad que puede utilizar para crear un filtro. Para obtener más información, consulte Elementos de la política de JSON de AWS: entidad principal.

Cuando se habilita el Analizador de acceso de IAM, se crea un analizador para toda la organización o su cuenta. La organización o cuenta que elija se conoce como la zona de confianza del analizador. El analizador monitorea todos los recursos admitidos dentro de su zona de confianza. Cualquier acceso a los recursos por parte de entidades principales que se encuentren dentro de su zona de confianza se considera de confianza. Una vez habilitadas, el Analizador de acceso de IAM analiza las políticas aplicadas a todos los recursos admitidos en su zona de confianza. Después del primer análisis, el Analizador de acceso de IAM analiza estas políticas periódicamente. Si se agrega una política nueva o se cambia una política existente, el Analizador de acceso de IAM analiza la política nueva o actualizada en unos 30 minutos.

Al analizar las políticas, si el Analizador de acceso de IAM identifica una que concede acceso a una entidad principal externa que no está dentro de su zona de confianza, genera un resultado. Cada resultado incluye detalles sobre el recurso, la entidad externa que tiene acceso al mismo y los permisos concedidos para que pueda tomar las medidas adecuadas. Puede ver los detalles incluidos en el resultado para determinar si el acceso a los recursos es intencional o si es un riesgo potencial que debe resolver. Cuando agrega una política a un recurso o actualiza una política existente, el Analizador de acceso de IAM analiza la política. El Analizador de acceso de IAM también analiza periódicamente todas las políticas basadas en recursos.

En raras ocasiones y bajo determinadas condiciones, el Analizador de acceso de IAM no recibe ninguna notificación de una política agregada o actualizada, lo que puede ocasionar demoras en la generación de resultados. El Analizador de acceso de IAM puede tardar hasta 6 horas en generar o resolver resultados si crea o elimina un punto de acceso de región múltiple asociado a un bucket de Amazon S3 o actualiza la política para el punto de acceso de varias regiones. Además, si hay un problema con la entrega de registros de AWS CloudTrail, el cambio de política no activa un nuevo análisis del recurso que se comunicó en el resultado. Cuando esto sucede, el Analizador de acceso de IAM analiza la política nueva o actualizada durante el siguiente análisis periódico, que es dentro de las 24 horas. Si desea confirmar que un cambio que realice en una política resuelve un problema de acceso notificado en un resultado, puede volver a examinar el recurso notificado en un resultado mediante el enlace Rescan (Volver a examinar) en la página de detalles de los Resultados o mediante la operación StartResourceScan de la API del Analizador de acceso de IAM. Para obtener más información, consulte Resolución de resultados.

importante

El Analizador de acceso de IAM analiza solo las políticas que se aplican a los recursos de la misma región de AWS en la que está habilitada. Para supervisar todos los recursos de su entorno de AWS, debe crear un analizador para habilitar el Analizador de acceso de IAM en cada región en la que utilice los recursos de AWS admitidos.

El Analizador de acceso de IAM analiza los siguientes tipos de recursos:

Identificar el acceso no utilizado otorgado a roles y usuarios de IAM

IAM Access Analyzer le ayuda a identificar y revisar el acceso no utilizado en su organización de AWS y sus cuentas. IAM Access Analyzer supervisa continuamente todos los usuarios y roles de IAM en su organización de AWS y sus cuentas, y genera resultados sobre el acceso no utilizado. Los resultados destacan los roles no utilizados, las claves de acceso no utilizadas de los usuarios de IAM y las contraseñas no utilizadas de los usuarios de IAM. En el caso de los usuarios y roles de IAM activos, los resultados proporcionan visibilidad de los servicios y las acciones no utilizados.

Los resultados, tanto de los analizadores de acceso externo como de los no utilizados, se organizan en un panel de resumen visual. El panel destaca los Cuentas de AWS que tienen más resultados y proporciona un desglose de los resultados por tipo. Para obtener más información acerca del panel, consulte Visualización del panel de resultados del Analizador de acceso de IAM.

IAM Access Analyzer revisa la información a la que se accedió por última vez para todos los roles de su organización de AWS y sus cuentas para ayudarlo a identificar los accesos no utilizados. La información sobre las últimas acciones de IAM a las que se accedió le ayuda a identificar las acciones no utilizadas para los roles de su Cuentas de AWS. Para obtener más información, consulte Perfeccionar los permisos con la información sobre los últimos accesos en AWS.

Validar las políticas comparándolas con las prácticas recomendadas de AWS

Puede validar sus políticas con respecto a la gramática de políticas de IAM y las prácticas recomendadas de AWS mediante las comprobaciones básicas de políticas que proporciona la validación de políticas del Analizador de acceso de IAM. Puede crear o editar una política con la AWS CLI, API de AWS o editor de políticas JSON en la consola de IAM. Puede ver los resultados de las verificaciones de validación de políticas que incluyen advertencias de seguridad, errores, advertencias generales y sugerencias para la política. Estos resultados proporcionan recomendaciones procesables que le ayudan a crear políticas funcionales y que se ajustan a las prácticas recomendadas de AWS. Para obtener más información sobre cómo validar políticas mediante validación de políticas, consulte Política de validación de Analizador de acceso de IAM.

Validar las políticas según los estándares de seguridad especificados

Puede validar sus políticas con respecto a los estándares de seguridad especificados mediante las comprobaciones de políticas personalizadas del Analizador de acceso de IAM. Puede crear o editar una política con la AWS CLI, API de AWS o editor de políticas JSON en la consola de IAM. A través de la consola, puede comprobar si la política actualizada concede nuevos accesos en comparación con la versión existente. A través de AWS CLI y de la API de AWS, también puede comprobar si determinadas acciones de IAM que considera críticas no están permitidas por una política. Estas verificaciones destacan una declaración de las políticas que otorga un nuevo acceso. Puede actualizar la declaración de las políticas y volver a ejecutar las comprobaciones hasta que la política se ajuste a su estándar de seguridad. Para obtener más información sobre cómo validar políticas mediante las comprobaciones de políticas personalizadas, consulte Comprobaciones de políticas personalizadas del Analizador de acceso de IAM.

Generación de políticas

El Analizador de acceso de IAM analiza los registros de AWS CloudTrail para identificar acciones y servicios que han sido utilizados por una entidad (usuario o rol) de IAM dentro de un rango de fecha especificado. A continuación, genera una política de IAM basada en esa actividad de acceso. Puede utilizar la política generada para perfeccionar los permisos de una entidad adjuntándola a un rol o usuario de IAM. Para obtener más información sobre cómo generar políticas mediante el Analizador de acceso de IAM, consulte Generación de políticas del Analizador de acceso de IAM.

Precios del IAM Access Analyzer

El Analizador de acceso de IAM cobra por el análisis de acceso no utilizado en función del número de usuarios y roles de IAM analizados por el analizador por mes.

Se le cobrará por cada analizador de acceso no utilizado que genere.
Si crea analizadores de acceso no utilizados en varias regiones, se le cobrará por cada analizador.
Los roles vinculados a servicios no se analizan para la actividad de acceso no utilizada y no se incluyen en la cantidad total de roles de IAM analizados.

El Analizador de acceso de IAM cobra por las comprobaciones de políticas personalizadas en función del número de solicitudes de API realizadas al Analizador de acceso de IAM para comprobar si hay nuevos accesos.

Para obtener una lista completa de los costos y precios del Analizador de acceso de IAM, consulte Analizador de acceso de IAM.

Para ver su factura, vaya al Panel de Billing and Cost Management en la consola de AWS Billing and Cost Management. La factura contiene vínculos a informes de uso que ofrecen detalles sobre la cuenta. Para obtener más información sobre Cuenta de AWS facturación, consulte la Guía del usuario de AWS Billing.

Si tiene alguna pregunta acerca de los eventos, las cuentas y la facturación de AWS, póngase en contacto con AWS Support.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Políticas administradas por AWS

Resultados de acceso externo y no utilizado