Seguridad

Lógica de evaluación de políticas IAM explicada - Cómo la denegación implícita pierde ante la autorización explícita

Una explicación paso a paso de cómo IAM evalúa las solicitudes para permitirlas o denegarlas, cubriendo la prioridad de denegación implícita, autorización explícita y denegación explícita, así como la lógica de intersección para SCPs, límites de permisos y políticas de sesión.

約 4 分で読めます

La evaluación IAM produce solo tres resultados

La evaluación de políticas IAM puede parecer compleja, pero el resultado final es siempre uno de tres: denegación explícita, autorización explícita o denegación implícita. La prioridad es siempre: denegación explícita > autorización explícita > denegación implícita. La denegación implícita es el estado predeterminado: si ninguna política otorga explícitamente un permiso, la solicitud se deniega. Una autorización explícita (Effect: Allow) anula la denegación implícita. Una denegación explícita (Effect: Deny) anula cualquier autorización explícita. Esta jerarquía simple es la base de toda la evaluación de políticas IAM.

Flujo de evaluación dentro de una sola cuenta

La evaluación de políticas dentro de una sola cuenta es un proceso de múltiples etapas que evalúa varios tipos de políticas en secuencia. Primero, se evalúan las SCPs (Service Control Policies) de Organizations. Las SCPs actúan como un "techo" de permisos para toda la cuenta: incluso si una política de identidad otorga un permiso, si la SCP no lo permite, la solicitud se deniega. Luego se evalúan los límites de permisos (permission boundaries), que establecen el máximo de permisos para un usuario o rol IAM específico. Finalmente, se evalúan las políticas basadas en identidad (gestionadas y en línea) y las políticas basadas en recursos. El permiso efectivo es la intersección de todas estas capas. Para una comprensión más profunda de la evaluación de políticas IAM, consulta libros relacionados en Amazon.

Lógica de intersección de SCPs y límites de permisos

Tanto las SCPs como los límites de permisos establecen un "límite superior" de permisos, pero se aplican a diferentes niveles. Las SCPs se aplican a nivel de cuenta de Organizations, mientras que los límites de permisos se aplican a nivel de usuario/rol IAM individual. El permiso efectivo es la intersección de ambos: un permiso debe estar permitido tanto por la SCP como por el límite de permisos para ser efectivo. Si la SCP permite las acciones A, B, C y el límite de permisos permite B, C, D, el permiso efectivo es solo B y C. Las políticas de sesión (pasadas al asumir un rol con AssumeRole) agregan otra capa de intersección, restringiendo aún más los permisos de la sesión.

Evaluación de claves de condición - Errores comúnmente pasados por alto

El bloque Condition en las políticas IAM es una función poderosa que controla el acceso basándose en atributos de la solicitud (IP de origen, hora de solicitud, valores de etiquetas, etc.), pero hay trampas en la lógica de evaluación. Cuando una clave de condición no está presente en la solicitud, el comportamiento depende del operador: StringEquals falla (deniega), StringNotEquals tiene éxito (permite), y Null puede verificar explícitamente la presencia/ausencia de una clave. Las condiciones con múltiples valores usan lógica AND entre diferentes claves y lógica OR entre múltiples valores de la misma clave. El operador ForAllValues requiere que todos los valores de la solicitud coincidan, mientras que ForAnyValue requiere que al menos uno coincida.

Reglas de evaluación de acceso entre cuentas

Las reglas de evaluación de acceso entre cuentas difieren de las de una sola cuenta. Cuando un principal en la Cuenta A accede a un recurso en la Cuenta B, tanto la política basada en identidad en la Cuenta A como la política basada en recursos en la Cuenta B deben permitir explícitamente el acceso. Esto es diferente del acceso dentro de la misma cuenta, donde una política basada en recursos puede otorgar acceso independientemente de la política de identidad. La excepción es cuando la política basada en recursos especifica el principal exacto (no una cuenta completa): en ese caso, la política basada en recursos sola es suficiente. Las SCPs de ambas cuentas también deben permitir la acción para que el acceso entre cuentas tenga éxito.

Servicios relacionados

AWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWSIAM Access AnalyzerUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWS

Artículos relacionados

Diseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.Control de acceso granular de AWS IAM - El principio de mínimo privilegio logrado por el diseño basado en políticasExplicamos la filosofía de diseño del control de acceso basado en políticas de AWS IAM y comparamos concretamente las diferencias de granularidad con Azure RBAC y GCP IAM.Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS IAMServicio de autenticación y autorización para controlar de forma segura el acceso a recursos AWS, proporcionando gestión de acceso granular mediante usuarios, grupos, roles y políticasAWS OrganizationsServicio de gestión de cuentas que administra centralmente múltiples cuentas AWS como una organización, aplicando control mediante facturación consolidada y políticas de control de serviciosControl de acceso granular de AWS IAM - El principio de mínimo privilegio logrado por el diseño basado en políticasExplicamos la filosofía de diseño del control de acceso basado en políticas de AWS IAM y comparamos concretamente las diferencias de granularidad con Azure RBAC y GCP IAM.Diseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.Amazon Verified PermissionsServicio gestionado que externaliza la lógica de autorización de aplicaciones usando el lenguaje de políticas Cedar, habilitando control de acceso granular