Seguridad

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizados

Detecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.

約 5 分で読めます

Descripción general de Access Analyzer

IAM Access Analyzer es un servicio que detecta problemas de permisos de acceso utilizando dos tipos de analizadores. El analizador de acceso externo examina las políticas de recursos en buckets S3, roles IAM y otros recursos para identificar configuraciones que permiten el acceso desde cuentas fuera de la organización o desde el público. El analizador de acceso no utilizado cruza los registros de actividad de CloudTrail con los permisos de los roles IAM para detectar permisos que no se están utilizando realmente. También proporciona una función que genera automáticamente políticas IAM de mínimo privilegio basadas en la actividad pasada de CloudTrail, junto con verificaciones de políticas personalizadas que pueden integrarse en pipelines CI/CD.

Permisos no utilizados y generación de políticas

El analizador de acceso no utilizado compara los permisos de roles y usuarios IAM con la actividad de CloudTrail para detectar acciones no utilizadas durante 90 días o más, claves de acceso no utilizadas y roles no utilizados. El período de 90 días es el valor predeterminado, por lo que es necesario considerar los procesos por lotes que solo se ejecutan trimestralmente para evitar falsos positivos. La generación de políticas crea automáticamente políticas IAM de mínimo privilegio que contienen solo las acciones realmente utilizadas, basándose en los últimos 90 días de actividad de CloudTrail. En lugar de aplicar las políticas generadas tal cual, se recomienda revisarlas para asegurar que incluyan acciones que puedan ser necesarias en el futuro antes de aplicarlas. Las verificaciones de políticas personalizadas pueden integrarse en pipelines CI/CD para verificar automáticamente que los cambios en las políticas IAM no otorguen acciones específicas como s3:* o iam:*. Un patrón común es colocar una función Lambda en una etapa de CodePipeline que utilice la API CheckNoNewAccess para verificar la seguridad de los cambios de políticas.

Aprovechamiento de la detección de acceso externo

El analizador de acceso externo examina políticas de buckets S3, políticas de confianza de roles IAM, políticas de claves KMS, políticas de funciones Lambda y políticas de colas SQS para detectar recursos accesibles desde cuentas externas o desde el público. Los hallazgos se clasifican como archivados (compartición intencional) o activos (requiere acción), permitiendo priorizar la corrección de exposiciones externas no intencionadas. Las verificaciones de políticas personalizadas pueden verificar automáticamente en pipelines CI/CD que los cambios de políticas no introduzcan nuevo acceso externo. La integración con Organizations permite la gestión centralizada del acceso externo en todas las cuentas, proporcionando visibilidad de la postura de seguridad de toda la organización. Para profundizar en la seguridad IAM, los libros especializados en Amazon también pueden ser útiles.

Precios de Access Analyzer

El analizador de acceso externo está disponible sin costo. El analizador de acceso no utilizado se factura según el número de roles y usuarios IAM analizados, a aproximadamente 0.20 dólares por rol/usuario al mes. Las verificaciones de políticas personalizadas cuestan aproximadamente 0.002 dólares por verificación. En entornos a gran escala con muchas entidades IAM, los costos del analizador de acceso no utilizado pueden acumularse, por lo que se recomienda una implementación gradual comenzando por las cuentas críticas. El analizador de acceso externo puede habilitarse sin costo en todas las cuentas y es esencial como línea base de seguridad.

Resumen

Access Analyzer es un servicio que aplica el principio de mínimo privilegio mediante la detección de acceso externo y permisos no utilizados. Configura eficientemente los permisos apropiados mediante la generación automática de políticas basada en CloudTrail, y automatiza todo el ciclo de vida de la gestión de permisos integrando verificaciones de seguridad en pipelines CI/CD a través de verificaciones de políticas personalizadas.

Servicios relacionados

IAM Access AnalyzerUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWSAWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWS

Artículos relacionados

Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.Gestión centralizada de la postura de seguridad con AWS Security Hub - Agregación de hallazgos y respuesta automatizadaAgregamos los hallazgos de GuardDuty, Inspector y Macie en formato ASFF, cuantificamos la puntuación mediante la evaluación automática de estándares de seguridad y presentamos la remediación automática con integración de EventBridge.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.

Más sobre este tema

Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.

Artículos y servicios similares

IAM Access AnalyzerServicio que analiza automáticamente las políticas de recursos en buckets S3, roles IAM y más, detectando accesos externos y permisos no utilizados para fortalecer la postura de seguridadDiseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.AWS IAMServicio de autenticación y autorización para controlar de forma segura el acceso a recursos AWS, proporcionando gestión de acceso granular mediante usuarios, grupos, roles y políticasControl de acceso granular de AWS IAM - El principio de mínimo privilegio logrado por el diseño basado en políticasExplicamos la filosofía de diseño del control de acceso basado en políticas de AWS IAM y comparamos concretamente las diferencias de granularidad con Azure RBAC y GCP IAM.