Comprobaciones para validar políticas - AWS Identity and Access Management
Cómo funcionan las comprobaciones de políticas personalizadasEjemplos de políticas de referencia para verificar nuevos accesosInspección de las verificaciones de políticas personalizadas fallidas

Comprobaciones para validar políticas

El Analizador de acceso de IAM proporciona comprobaciones de políticas que ayudan a validar sus políticas de IAM antes de adjuntarlas a una entidad. Entre ellas se incluyen las comprobaciones básicas de políticas que proporciona la validación de políticas para validar su política con respecto a la gramática de las políticas y las prácticas recomendadas de AWS. Puede ver los resultados de las verificaciones de validación de políticas que incluyen advertencias de seguridad, errores, advertencias generales y sugerencias para la política.

Puede utilizar comprobaciones de políticas personalizadas para comprobar si hay nuevos accesos en función de tus estándares de seguridad. Se aplica un cargo a cada verificación de acceso nuevo. Para obtener más información sobre los precios, consulte los precios del Analizador de acceso de IAM.

Cómo funcionan las comprobaciones de políticas personalizadas

Puede validar sus políticas con respecto a los estándares de seguridad especificados mediante las AWS Identity and Access Management Access Analyzer comprobaciones de políticas personalizadas del Analizador de acceso de IAM. Puede ejecutar los siguientes tipos de comprobaciones de políticas personalizadas:

  • Comparación con una política de referencia: al editar una política, puede comprobar si la política actualizada concede nuevos accesos en comparación con una política de referencia, como una versión existente de la política. Puede ejecutar esta comprobación al editar una política con AWS Command Line Interface (AWS CLI), API del Analizador de acceso de IAM (API) de o editor de políticas JSON en la consola de IAM.

    nota

    Las comprobaciones de políticas personalizadas del Analizador de acceso de IAM permiten caracteres comodín en el elemento Principal para las políticas de recursos de referencia.

  • Comparación con una lista de recursos y acciones de IAM: puede asegurarse de que su política no permita recursos ni acciones de IAM específicas. Si solo se especifican las acciones, IAM Access Analyzer comprueba el acceso de las acciones a todos los recursos de la política. Si solo se especifican los recursos, IAM Access Analyzer comprueba qué acciones tienen acceso a los recursos especificados. Si se especifican tanto las acciones como los recursos, IAM Access Analyzer comprueba cuáles de las acciones especificadas tienen acceso a los recursos especificados. Puede ejecutar esta comprobación al crear o editar una política con la AWS CLI o API.

  • Comprobación del acceso público: puede comprobar si una política de recursos puede conceder el acceso público a un tipo de recurso específico. Puede ejecutar esta comprobación al crear o editar una política con la AWS CLI o API. Este tipo de verificación de políticas personalizada difiere de la vista previa del acceso porque no requiere ningún contexto del analizador de acceso externo o de cuenta. Las vistas previas del acceso permiten obtener una vista previa de los resultados del IAM Access Analyzer antes de implementar los permisos de los recursos, mientras que la verificación personalizada determina si una política puede conceder el acceso público.

Se asocia un cargo a cada comprobación de política personalizada. Para obtener más información sobre los precios, consulte los precios del Analizador de acceso de IAM.

Puede ejecutar verificaciones de políticas personalizadas en políticas basadas en identidades y políticas basadas en recursos. Las comprobaciones de políticas personalizadas no se basan en técnicas de coincidencia de patrones ni en el examen de los registros de acceso para determinar si una política permite un acceso nuevo o específico. Al igual que los resultados sobre el acceso externo, las comprobaciones de políticas personalizadas se basan en Zelkova. Zelkova traduce las políticas de IAM en declaraciones lógicas equivalentes, y ejecuta un conjunto de solucionadores lógicos de uso general y especializados (teorías de módulo de satisfacibilidad) frente al problema. Para comprobar si hay un acceso nuevo o especificado, el Analizador de acceso de IAM aplica Zelkova repetidas veces a una política. Las consultas se vuelven cada vez más específicas para caracterizar las clases de comportamientos que permite la política en función del contenido de la política. Para más información sobre las teorías modulares de la satisfabilidad, consulte Teorías modulares de la satisfabilidad.

En raras ocasiones, el Analizador de acceso de IAM no es capaz de determinar completamente si una declaración de política concede un acceso nuevo o especificado. En esos casos, se equivoca al declarar un falso positivo al no pasar la comprobación de la política personalizada. El Analizador de acceso de IAM está diseñado para proporcionar una evaluación completa de las políticas y se esfuerza por minimizar los falsos negativos. Este enfoque significa que el Analizador de acceso de IAM ofrece un alto grado de seguridad de que una verificación aprobada significa que la política no ha concedido el acceso. Puede inspeccionar manualmente las comprobaciones fallidas consultando la declaración de política que figura en la respuesta del Analizador de acceso de IAM.

Ejemplos de políticas de referencia para verificar nuevos accesos

Puede encontrar ejemplos de políticas de referencia y aprender a configurar y ejecutar una comprobación de políticas personalizada para nuevos accesos en el repositorio de ejemplos de comprobaciones de políticas personalizadas del Analizador de acceso de IAM en GitHub.

Antes de usar estos ejemplos

Antes de usar estos ejemplos de políticas de referencia, haga lo siguiente:

  • Revise las políticas de referencia atentamente y personalícelas para ajustarlas a sus requisitos únicos.

  • Pruebe a fondo las políticas de referencia en su entorno con los Servicios de AWS que utilice.

    Las políticas de referencia demuestran la implementación y el uso de comprobaciones de políticas personalizadas. Ellas no son destinadas a ser interpretadas como recomendaciones AWS oficiales o prácticas óptimas que se apliquen exactamente como se indica. Es su responsabilidad probar cuidadosamente las políticas de referencia para comprobar su idoneidad para resolver los requisitos de seguridad de su entorno.

  • En su análisis, las comprobaciones de políticas personalizadas son independientes del entorno. Su análisis solo considera la información contenida en las políticas de entrada. Por ejemplo, las comprobaciones de políticas personalizadas no pueden comprobar si una cuenta es miembro de una AWS organización específica. Por lo tanto, las comprobaciones de políticas personalizadas no pueden comparar los nuevos accesos en función de los valores de las claves para las aws:PrincipalOrgId y las aws:PrincipalAccount claves de condición

Inspección de las verificaciones de políticas personalizadas fallidas

Cuando se produce un error en una comprobación de una política personalizada, la respuesta del Analizador de acceso de IAM incluye el identificador (Sid) de la declaración de política que provocó el error en la comprobación. Aunque el ID de la declaración es un elemento de política opcional, le recomendamos que agregue un ID de declaración para cada declaración de política. La comprobación de política personalizada también devuelve un índice de la declaración para ayudar a identificar el motivo del error de la comprobación. El índice de declaraciones sigue una numeración basada en cero, donde se hace referencia a la primera sentencia como 0. Cuando hay varias declaraciones que provocan un error en una comprobación, la comprobación devuelve solo un identificador de sentencia a la vez. Le recomendamos que corrija la afirmación resaltada en el motivo y vuelva a ejecutar la comprobación hasta que se apruebe.