IAM Access Analyzer のアイコン

IAM Access Analyzer Specialized2019年〜

Un servicio que detecta recursos accesibles externamente y permisos de acceso no utilizados

Unos 3 min de lectura

Qué hace

IAM Access Analyzer analiza automáticamente si los recursos de AWS, como buckets de S3 y roles de IAM, son accesibles desde cuentas externas o desde Internet. También detecta permisos de IAM que no se han utilizado durante un período determinado y ayuda a crear políticas alineadas con el principio de mínimo privilegio, reduciendo los riesgos de seguridad mediante la detección temprana de accesos no intencionados.

Casos de uso

Se utiliza para verificaciones periódicas que aseguran que los buckets de S3 y las claves de KMS no estén expuestos involuntariamente, para eliminar permisos innecesarios mediante auditorías de políticas de IAM, y para la validación previa de políticas antes del despliegue. También se usa para la visualización de permisos de acceso en preparación para auditorías de cumplimiento.

Analogía cotidiana

Imagínalo como un auditor de seguridad corporativo que revisa periódicamente las cerraduras (permisos de acceso) de cada habitación (recurso), informando si personas externas pueden entrar o si hay llaves sin usar abandonadas. Cuando se detectan problemas, se emiten alertas inmediatas con sugerencias de configuración adecuada.

Qué es IAM Access Analyzer

IAM Access Analyzer es un servicio que analiza automáticamente los permisos de acceso a los recursos de AWS y detecta problemas de seguridad. En AWS, los permisos de acceso se configuran en diversos lugares, como las políticas de buckets de S3 y las políticas de confianza de roles de IAM. A medida que las configuraciones se vuelven complejas, los recursos pueden quedar accesibles externamente de forma involuntaria. Access Analyzer descubre automáticamente estos problemas y solicita su corrección.

Detección de acceso externo

Access Analyzer analiza las políticas de recursos de buckets de S3, roles de IAM, claves de KMS, funciones Lambda, colas de SQS y más, para detectar configuraciones que permitan el acceso desde fuera de tu cuenta de AWS. Los resultados se muestran como "findings" (hallazgos), donde puedes verificar si cada uno es intencional. El uso compartido intencional puede archivarse, mientras que el acceso no intencionado debe remediarse modificando la política.

Análisis de acceso no utilizado

Access Analyzer analiza los permisos que realmente utilizan los usuarios y roles de IAM, detectando aquellos que no se han usado durante un período determinado. Por ejemplo, si los permisos de escritura en S3 no se han utilizado durante 90 días, lo reporta. Eliminar permisos innecesarios basándose en esto permite lograr el mínimo privilegio y minimizar el radio de impacto en caso de compromiso de credenciales. Para aprender sobre análisis de acceso desde lo básico hasta temas avanzados, libros relacionados (Amazon) ofrecen una cobertura sistemática.

Cómo empezar

Crea un analizador desde el menú "Access Analyzer" en la consola de IAM. Selecciona tu cuenta de AWS u organización como zona de confianza, y el análisis comenzará automáticamente. Los resultados aparecen en minutos para su revisión. Integrando con EventBridge puedes habilitar notificaciones automáticas para nuevos hallazgos.

Aspectos a tener en cuenta

  • Creating an analyzer is free, but unused access analysis is charged based on the number of IAM roles and users analyzed
  • Findings may include intentional sharing - not all indicate problems. Review each and decide whether to archive or remediate
  • With Organizations integration, set the entire organization as trust zone to detect only unintended external access
共有するXB!

Servicios relacionados

AWS IAM iconoAWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWSAWS Config iconoAWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamenteAWS Security Hub iconoAWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticasAWS CloudTrail iconoAWS CloudTrailUn servicio que registra y monitorea la actividad de API en cuentas AWS

Artículos relacionados

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Lógica de evaluación de políticas IAM explicada - Cómo la denegación implícita pierde ante la autorización explícitaUna explicación paso a paso de cómo IAM evalúa las solicitudes para permitirlas o denegarlas, cubriendo la prioridad de denegación implícita, autorización explícita y denegación explícita, así como la lógica de intersección para SCPs, límites de permisos y políticas de sesión.

Más en esta categoría

AWS Certificate Manager iconoAWS Certificate Manager EssentialUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Artifact iconoAWS Artifact SpecializedUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS Audit Manager iconoAWS Audit Manager SpecializedUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAWS CloudHSM iconoAWS CloudHSM EspecializadoUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAmazon Cognito iconoAmazon Cognito PopularUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon Detective iconoAmazon Detective EspecializadoUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAWS Directory Service iconoAWS Directory Service EspecializadoUn servicio que proporciona Active Directory administrado en AWSAWS Firewall Manager iconoAWS Firewall Manager EspecializadoUn servicio para gestionar centralmente reglas de firewall en toda su organización de AWS

Artículos y servicios similares

IAM Access AnalyzerServicio que analiza automáticamente las políticas de recursos en buckets S3, roles IAM y más, detectando accesos externos y permisos no utilizados para fortalecer la postura de seguridadDetección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.VPC Network Access AnalyzerHerramienta de análisis de seguridad que analiza automáticamente las rutas de acceso de red en toda la VPC y detecta exposiciones no intencionadas a Internet o permisos de acceso excesivosAWS IAMServicio de autenticación y autorización para controlar de forma segura el acceso a recursos AWS, proporcionando gestión de acceso granular mediante usuarios, grupos, roles y políticas