Introducción a AWS Identity and Access Management Access Analyzer
Utilice la información de este tema para obtener información acerca de los requisitos necesarios para usar y administrar AWS Identity and Access Management Access Analyzer.
Permisos requeridos para utilizar el Analizador de acceso de IAM
Para configurar y utilizar correctamente el Analizador de acceso de IAM, se deben conceder los permisos necesarios a la cuenta que utilice.
Políticas de AWS administradas para el Analizador de acceso de IAM
AWS Identity and Access Management Access Analyzer brinda políticas administradas de AWS para ayudarle a comenzar a trabajar rápidamente.
-
IAMAccessAnalyzerFullAccess: permite el acceso completo al Analizador de acceso de IAM para los administradores. Esta política también permite crear los roles vinculados a servicios que son necesarios para permitir que el Analizador de acceso de IAM analice los recursos de su cuenta u organización de AWS.
-
IAMAccessAnalyzerReadOnlyAccess: permite el acceso de solo lectura al Analizador de acceso de IAM. Debe agregar políticas adicionales a sus identidades de IAM (usuarios, grupos de usuarios o roles) para permitirles ver sus resultados.
Recursos definidos por el Analizador de acceso de IAM
Para ver los recursos definidos por el Analizador de acceso de IAM, consulte Tipos de recursos definidos por el Analizador de acceso de IAM en la Referencia de autorización de servicios.
Permisos de servicio del Analizador de acceso de IAM requeridos
El Analizador de acceso de IAM usa un Rol vinculado al servicio (SLR) llamado AWSServiceRoleForAccessAnalyzer. Este SLR concede al servicio acceso de solo lectura para analizar recursos de AWS con políticas basadas en los recursos y analizar en su nombre el acceso no utilizado. El servicio crea el rol de su cuenta en los siguientes casos:
-
Crea un analizador de acceso externo con su cuenta como la zona de confianza.
-
Crea un analizador de acceso no utilizado con su cuenta como la cuenta seleccionada.
Para obtener más información, consulte Uso de roles vinculados a servicios de AWS Identity and Access Management Access Analyzer.
nota
El Analizador de acceso de IAM es regional. Para acceso externo, debe activar Analizador de acceso de IAM en cada región de forma independiente.
En el caso del acceso no utilizado, los resultados del analizador no cambian en función de la región. No es necesario crear un analizador en cada región en la que tenga recursos.
En algunos casos, después de crear un analizador de acceso externo o de acceso no utilizado en el Analizador de acceso de IAM, la página o el panel Resultados se carga sin ningún resultado ni resumen. Esto puede deberse a un retraso en la consola para rellenar sus resultados. Es posible que tenga que actualizar manualmente el navegador o volver a consultarlo más adelante para ver sus resultados o su resumen. Si sigue sin ver ningún resultado, es porque no tiene recursos compatibles en su cuenta a los que pueda acceder una entidad externa. Si una política que concede acceso a una entidad externa se aplica a un recurso, el Analizador de acceso de IAM genera un resultado.
nota
Para analizadores de acceso externo, puede tardar hasta 30 minutos después de modificar una política para que el Analizador de acceso de IAM analice el recurso y, a continuación, genere un nuevo resultado o actualice un resultado existente para el acceso al recurso. Tanto en el caso de los analizadores de acceso externos como en los que no se utilizan, es posible que las actualizaciones de los resultados no se reflejen inmediatamente en el panel de control.
Se requieren permisos del Analizador de acceso de IAM para ver el panel de resultados
Para ver el panel de resultados del Analizador de acceso de IAM, se deben conceder accesos a la cuenta que utilice para realizar las siguientes acciones necesarias:
-
GetFindingsStatistics
Para ver todas las acciones definidas por el Analizador de acceso de IAM, consulte Acciones definidas por el Analizador de acceso de IAM en la Referencia de autorización de servicios.
Estado del Analizador de acceso de IAM
Para ver el estado de los analizadores, elija Analizadores. Los analizadores creados para una organización o cuenta pueden tener el siguiente estado:
| Estado | Descripción |
|---|---|
|
Activa |
Para analizadores de acceso externo, el analizador monitoriza activamente los recursos dentro de su zona de confianza. El analizador genera activamente nuevos resultados y actualiza los resultados existentes. En el caso de los analizadores de acceso no utilizados, el analizador supervisa activamente el acceso no utilizado dentro de la organización seleccionada o Cuenta de AWS durante el período de seguimiento especificado. El analizador genera activamente nuevos resultados y actualiza los resultados existentes. |
|
Creación |
La creación del analizador todavía está en curso. El analizador se activa una vez completada la creación. |
|
Deshabilitado |
El analizador está deshabilitado debido a una acción realizada por el administrador de AWS Organizations. Por ejemplo, quitar la cuenta del analizador como administrador delegado para el Analizador de acceso de IAM. Cuando el analizador está en un estado desactivado, no genera nuevos resultados ni actualiza los resultados existentes. |
|
Con error |
Error al crear el analizador debido a un problema de configuración. El analizador no generará ningún resultado. Elimine el analizador y cree un nuevo analizador. |
