Introducción a los resultados de AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management

Introducción a los resultados de AWS Identity and Access Management Access Analyzer

Utilice la información de este tema para obtener información acerca de los requisitos necesarios para utilizar y administrar el Analizador de acceso de IAM AWS Identity and Access Management Access Analyzer y, a continuación, cómo habilitar el Analizador de acceso de IAM. Para obtener más información sobre el rol vinculado a servicios del Analizador de acceso de IAM, consulte Uso de roles vinculados a servicios de AWS Identity and Access Management Access Analyzer.

Permisos requeridos para utilizar el Analizador de acceso de IAM

Para configurar y utilizar correctamente el Analizador de acceso de IAM, se deben conceder los permisos necesarios a la cuenta que utilice.

Políticas de AWS administradas para el Analizador de acceso de IAM

AWS Identity and Access Management Access Analyzer brinda políticas administradas de AWS para ayudarle a comenzar a trabajar rápidamente.

  • IAMAccessAnalyzerFullAccess: permite el acceso completo al Analizador de acceso de IAM para los administradores. Esta política también permite crear los roles vinculados a servicios que son necesarios para permitir que el Analizador de acceso de IAM analice los recursos de su cuenta u organización de AWS.

  • IAMAccessAnalyzerReadOnlyAccess: permite el acceso de solo lectura al Analizador de acceso de IAM. Debe agregar políticas adicionales a sus identidades de IAM (usuarios, grupos de usuarios o roles) para permitirles ver sus resultados.

Recursos definidos por el Analizador de acceso de IAM

Para ver los recursos definidos por el Analizador de acceso de IAM, consulte Tipos de recursos definidos por el Analizador de acceso de IAM en la Referencia de autorización de servicios.

Permisos de servicio del Analizador de acceso de IAM requeridos

El Analizador de acceso de IAM usa un Rol vinculado al servicio (SLR) llamado AWSServiceRoleForAccessAnalyzer. Este SLR concede al servicio acceso de solo lectura para analizar recursos de AWS con políticas basadas en los recursos y analizar en su nombre el acceso no utilizado. El servicio crea el rol de su cuenta en los siguientes casos:

  • Crea un analizador de acceso externo con su cuenta como la zona de confianza.

  • Crea un analizador de acceso no utilizado con su cuenta como la cuenta seleccionada.

Para obtener más información, consulte Uso de roles vinculados a servicios de AWS Identity and Access Management Access Analyzer.

nota

El Analizador de acceso de IAM es regional. Para acceso externo, debe activar Analizador de acceso de IAM en cada región de forma independiente.

En el caso del acceso no utilizado, los resultados del analizador no cambian en función de la región. No es necesario crear un analizador en cada región en la que tenga recursos.

En algunos casos, después de crear un analizador de acceso externo o de acceso no utilizado en el Analizador de acceso de IAM, la página o el panel Resultados se carga sin ningún resultado ni resumen. Esto puede deberse a un retraso en la consola para rellenar sus resultados. Es posible que tenga que actualizar manualmente el navegador o volver a consultarlo más adelante para ver sus resultados o su resumen. Si sigue sin ver ningún resultado, es porque no tiene recursos compatibles en su cuenta a los que pueda acceder una entidad externa. Si una política que concede acceso a una entidad externa se aplica a un recurso, el Analizador de acceso de IAM genera un resultado.

nota

Para analizadores de acceso externo, puede tardar hasta 30 minutos después de modificar una política para que el Analizador de acceso de IAM analice el recurso y, a continuación, genere un nuevo resultado o actualice un resultado existente para el acceso al recurso. Tanto en el caso de los analizadores de acceso externos como en los que no se utilizan, es posible que las actualizaciones de los resultados no se reflejen inmediatamente en el panel de control.

Se requieren permisos del Analizador de acceso de IAM para ver el panel de resultados

Para ver el panel de resultados del Analizador de acceso de IAM, se deben conceder accesos a la cuenta que utilice para realizar las siguientes acciones necesarias:

Para ver todas las acciones definidas por el Analizador de acceso de IAM, consulte Acciones definidas por el Analizador de acceso de IAM en la Referencia de autorización de servicios.

Habilitación del Analizador de acceso de IAM

Para crear un analizador de acceso externo con la cuenta Cuenta de AWS como la zona de confianza

Para activar el analizador de acceso externo, debe crear un analizador en dicha región. Debe crear un analizador de acceso externo en cada región en la que desee monitorizar el acceso a los recursos.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Analizador de acceso.

  3. Elija Configuración del analizador.

  4. Elija Crear analizador.

  5. En la sección Análisis, elija Análisis de acceso externo.

  6. En la sección Información del analizador confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.

  7. Escriba un nombre para el analizador.

  8. Elija Cuenta de AWS actual como zona de confianza para el analizador.

    nota

    Si su cuenta no es la de administración de AWS Organizations o la de administrador delegado, puede crear un solo analizador con su cuenta como zona de confianza.

  9. Opcional. Agregue las etiquetas que desee aplicar al analizador.

  10. Elija Enviar.

Cuando crea un analizador de acceso externo para activar el Analizador de acceso de IAM, se crea en su cuenta un rol vinculado a servicios denominado AWSServiceRoleForAccessAnalyzer.

Para crear un analizador de acceso externo con la organización como zona de confianza
  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Analizador de acceso.

  3. Elija Configuración del analizador.

  4. Elija Crear analizador.

  5. En la sección Análisis, elija Análisis de acceso externo.

  6. En la sección Información del analizador confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.

  7. Escriba un nombre para el analizador.

  8. Elija Organización actual como la zona de confianza del analizador.

  9. Opcional. Agregue las etiquetas que desee aplicar al analizador.

  10. Seleccione Submit (Enviar).

Cuando crea un analizador de acceso externo con la organización como zona de confianza, se crea un rol vinculado a servicios denominado AWSServiceRoleForAccessAnalyzer en cada cuenta de la organización.

Para crear un analizador de acceso no utilizado para la cuenta actual

Utilice el siguiente procedimiento para crear un analizador de acceso no utilizado para una sola Cuenta de AWS. En el caso del acceso no utilizado, los resultados del analizador no cambian en función de la región. No es necesario crear un analizador en cada región en la que tenga recursos.

El Analizador de acceso de IAM cobra por el análisis de acceso no utilizado en función del número de usuarios y roles de IAM analizados por mes y por analizador. Para obtener más información sobre los precios, consulte los precios del Analizador de acceso de IAM .

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Analizador de acceso.

  3. Elija Configuración del analizador.

  4. Elija Crear analizador.

  5. En la sección Análisis, elija Análisis de acceso no utilizado.

  6. Escriba un nombre para el analizador.

  7. En el Período de seguimiento, introduzca el número de días durante los que se generarán los resultados sobre los permisos no utilizados. Por ejemplo, si introduce 90 días, el analizador generará los resultados de las entidades de IAM de la cuenta seleccionada en relación con los permisos que no se hayan utilizado en 90 días o más desde el último escaneo del analizador. Puede elegir un valor comprendido entre 1 y 180 días.

  8. Para las Cuentas seleccionadas, elija Cuenta de AWS actual.

    nota

    Si su cuenta no es la cuenta de administrador de AWS Organizations o cuenta de administrador delegado, puede crear un solo analizador con su cuenta como la cuenta seleccionada.

  9. Opcional. Agregue las etiquetas que desee aplicar al analizador.

  10. Seleccione Submit (Enviar).

Cuando crea un analizador de acceso no utilizado para activar el Analizador de acceso de IAM, se crea en su cuenta un rol vinculado a servicios denominado AWSServiceRoleForAccessAnalyzer.

Para crear un analizador de acceso no utilizado con la organización actual

Utilice el siguiente procedimiento para crear un analizador de acceso no utilizado para que una organización revise de forma centralizada todas las Cuentas de AWS de una organización. En el análisis de acceso no utilizado, los resultados del analizador no cambian en función de la región. No es necesario crear un analizador en cada región en la que tenga recursos.

El Analizador de acceso de IAM cobra por el análisis de acceso no utilizado en función del número de usuarios y roles de IAM analizados por mes y por analizador. Para obtener más información sobre los precios, consulte los precios del Analizador de acceso de IAM .

nota

Si se elimina la cuenta de un miembro de la organización, el analizador de acceso no utilizado dejará de generar nuevos resultados y de actualizar los resultados existentes para esa cuenta después de 24 horas. Los resultados asociados a la cuenta de miembro que se elimine de la organización se eliminarán permanentemente después de 90 días.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Analizador de acceso.

  3. Elija Configuración del analizador.

  4. Elija Crear analizador.

  5. En la sección Análisis, elija Análisis de acceso no utilizado.

  6. Escriba un nombre para el analizador.

  7. En el Período de seguimiento, introduzca el número de días durante los que se generarán los resultados sobre los permisos no utilizados. Por ejemplo, si introduce 90 días, el analizador generará resultados sobre las entidades de IAM de las cuentas de la organización seleccionada en relación con los permisos que no se hayan utilizado en 90 días o más desde el último análisis realizado por el analizador. Puede elegir un valor comprendido entre 1 y 180 días.

  8. En Cuentas seleccionadas, elija Organización actual como las cuentas seleccionadas para el analizador.

  9. Opcional. Agregue las etiquetas que desee aplicar al analizador.

  10. Seleccione Submit (Enviar).

Cuando crea un analizador de acceso no utilizado para activar el Analizador de acceso de IAM, se crea en su cuenta un rol vinculado a servicios denominado AWSServiceRoleForAccessAnalyzer.

Estado del Analizador de acceso de IAM

Para ver el estado de los analizadores, elija Analizadores. Los analizadores creados para una organización o cuenta pueden tener el siguiente estado:

Estado Descripción

Activa

Para analizadores de acceso externo, el analizador monitoriza activamente los recursos dentro de su zona de confianza. El analizador genera activamente nuevos resultados y actualiza los resultados existentes.

En el caso de los analizadores de acceso no utilizados, el analizador supervisa activamente el acceso no utilizado dentro de la organización seleccionada o Cuenta de AWS durante el período de seguimiento especificado. El analizador genera activamente nuevos resultados y actualiza los resultados existentes.

Creación

La creación del analizador todavía está en curso. El analizador se activa una vez completada la creación.

Deshabilitado

El analizador está deshabilitado debido a una acción realizada por el administrador de AWS Organizations. Por ejemplo, quitar la cuenta del analizador como administrador delegado para el Analizador de acceso de IAM. Cuando el analizador está en un estado desactivado, no genera nuevos resultados ni actualiza los resultados existentes.

Con error

Error al crear el analizador debido a un problema de configuración. El analizador no generará ningún resultado. Elimine el analizador y cree un nuevo analizador.