Comprender cómo funcionan los resultados del Analizador de acceso de IAM - AWS Identity and Access Management
Resultados de acceso externoCómo IAM Access Analyzer genera resultados sobre el acceso externoResultados de acceso sin utilizarCómo IAM Access Analyzer genera resultados para el acceso no utilizado

Comprender cómo funcionan los resultados del Analizador de acceso de IAM

En este tema, se describen los conceptos y términos que se utilizan en el Analizador de acceso de IAM para ayudarle a familiarizarse con la forma en que el Analizador de acceso de IAM supervisa el acceso a los recursos de AWS.

Resultados de acceso externo

Los resultados se generan una sola vez para cada instancia de un recurso que se comparte fuera de su zona de confianza. Cada vez que se modifica una política basada en recursos, el Analizador de acceso de IAM analiza la política. Si la política actualizada comparte un recurso que ya se ha identificado en un resultado, pero con permisos o condiciones distintos, se genera un nuevo resultado para esa instancia del recurso compartido. Los cambios en una política de control de recursos que afectan a la Restricción de la política de control de recursos (RCP) también generan un nuevo resultado. Si se elimina el acceso en el primer resultado, ese resultado se actualiza a un estado de Resuelto.

El estado de todos los resultados permanece Activo hasta que los archive o elimine el acceso que generó el resultado. Al quitar el acceso, el estado del resultado se actualiza a Resuelto.

nota

Puede tardar hasta 30 minutos después de modificar una política para que el Analizador de acceso de IAM analice el recurso y, a continuación, actualice el resultado. Los cambios en una política de control de recursos (RCP) no activan un nuevo análisis del recurso que se comunicó en el resultado. El Analizador de acceso de IAM analiza la política nueva o actualizada durante el siguiente análisis periódico, que es dentro de las 24 horas.

Cómo IAM Access Analyzer genera resultados sobre el acceso externo

AWS Identity and Access Management Access Analyzer utiliza una tecnología llamada Zelkova para analizar las políticas de IAM e identificar el acceso externo a los recursos.

Zelkova traduce las políticas de IAM en declaraciones lógicas equivalentes y las ejecuta mediante un conjunto de solucionadores lógicos de uso general y especializados (teorías de módulo de satisfactibilidad). IAM Access Analyzer aplica Zelkova repetidamente a una política con consultas cada vez más específicas para caracterizar los tipos de acceso que permite la política en función de su contenido. Para más información sobre las teorías modulares de la satisfabilidad, consulte Teorías modulares de la satisfabilidad.

Para los analizadores de acceso externos, IAM Access Analyzer no examina los registros de acceso para determinar si una entidad externa ha accedido realmente a un recurso dentro de su zona de confianza. En cambio, genera un resultado cuando una política basada en recursos permite el acceso a un recurso, incluso si la entidad externa no accedió al recurso.

Además, IAM Access Analyzer tampoco tiene en cuenta el estado de ninguna cuenta externa al realizar su determinación. Es decir, si indica que la cuenta 111122223333 puede acceder a su bucket de Amazon S3, no posee información sobre los usuarios, los roles, las políticas de control de servicios (SCP) y otras configuraciones relevantes en esa cuenta. Esto es para la privacidad del cliente, ya que IAM Access Analyzer no tiene en cuenta quién es el propietario de la otra cuenta. Esto también es por motivos de seguridad, ya que es importante conocer el posible acceso externo, incluso si actualmente no hay entidades principales activas que puedan utilizarlo.

IAM Access Analyzer solo tiene en cuenta ciertas claves de condición de IAM en las que los usuarios externos no pueden influir directamente o que en caso contrario afectan la autorización. Para obtener ejemplos de claves de condición que el Analizador de acceso de IAM considera, consulte Claves de filtro del Analizador de acceso de IAM.

IAM Access Analyzer no notifica actualmente los resultados de entidades principales de Servicio de AWS ni de las cuentas de servicio internas. En casos raros en los que no se puede determinar completamente si una declaración de política concede acceso a una entidad externa, se equivoca al declarar un resultado falso positivo. Esto es debido a que IAM Access Analyzer está diseñado para proporcionar una vista completa del uso compartido de recursos en su cuenta y minimizar los falsos negativos.

Resultados de acceso sin utilizar

Los resultados de acceso no utilizados se generan para las entidades de IAM de la cuenta u organización seleccionada en función del número de días especificado al crear el analizador. La próxima vez que el analizador escanee las entidades, se generará un nuevo resultado si se cumple una de las siguientes condiciones:

  • Un rol permanece inactivo durante el número especificado de días.

  • Un permiso, una contraseña de usuario o una clave de acceso de usuario no utilizados superan el número de días especificado.

nota

Los resultados de acceso no utilizados solo están disponibles mediante la acción de la API ListFindingsV2.

Cómo IAM Access Analyzer genera resultados para el acceso no utilizado

Para analizar el acceso no utilizado, debe crear un analizador independiente para los resultados de acceso no utilizado para sus roles, incluso si ya ha creado un analizador para generar los resultados de acceso externo para sus recursos.

Tras crear el analizador para el acceso no utilizado, IAM Access Analyzer revisa la actividad de acceso para identificar el acceso no utilizado. El Analizador de acceso a la red de IAM revisa la información a la que se accedió por última vez para todos los roles, claves de acceso y contraseñas de usuarios de la organización y las cuentas de AWS. Esto ayuda a identificar el acceso no utilizado.

En el caso de los usuarios y roles de IAM activos, IAM Access Analyzer utiliza la información a la que se accedió por última vez para los servicios de IAM y acciones para identificar los permisos no utilizados. Esto permite escalar el proceso de revisión a nivel de la organización de AWS y de la cuenta. También puede utilizar la información sobre la acción a la que se accedió por última vez para investigar más a fondo los roles individuales. Esto proporciona información más detallada sobre qué permisos específicos no se están en uso.

Al crear un analizador dedicado al acceso no utilizado, puede revisar e identificar exhaustivamente el acceso no utilizado en todo su entorno de AWS y así complementar los resultados generados por su analizador de acceso externo existente.