Tipos de recursos del Analizador de acceso de IAM para acceso externo
Para los analizadores de acceso externo, el Analizador de acceso de IAM analiza las políticas basadas en recursos que se aplican a los recursos de AWS en la región en la que habilitó el Analizador de acceso de IAM. Solo analiza las políticas basadas en recursos. Revise la información sobre cada recurso para obtener detalles sobre cómo genera el Analizador de acceso de IAM resultados para cada tipo de recurso.
nota
Los tipos de recursos compatibles que se muestran son para analizadores de acceso externos. Los analizadores de acceso no utilizado solo admiten roles y usuarios de IAM. Para obtener más información, consulte Comprender cómo funcionan los resultados del Analizador de acceso de IAM.
Tipos de recursos compatibles para el acceso externo:
- Buckets de Amazon Simple Storage Service Batch
- Buckets de directorio de Amazon Simple Storage Service Batch
- Roles de AWS Identity and Access Management
- Claves de AWS Key Management Service
- Funciones y capas de AWS Lambda
- Colas de Amazon Simple Queue Service
- secretos de AWS Secrets Manager
- Temas de Amazon Simple Notification Service
- Instantáneas de volúmenes de Amazon Elastic Block Store
- Instantáneas de base de datos de Amazon Relational Database Service
- Instantáneas de clúster de base de datos de Amazon Relational Database Service
- Repositorios de Amazon Elastic Container Registry
- Sistemas de archivos de Amazon Elastic File System
- Amazon DynamoDB Streams
- Tablas de Amazon DynamoDB
Buckets de Amazon Simple Storage Service Batch
Cuando el Analizador de acceso de IAM analiza los buckets de S3, genera un resultado cuando una política de bucket de Amazon S3, una ACL o un punto de acceso, lo que incluye un punto de acceso de región múltiple, aplicado a un bucket concede acceso a una entidad externa. Una entidad externa es una entidad principal u otra que puede utilizar para crear un filtro que no esté dentro de su zona de confianza. Por ejemplo, si una política de bucket concede acceso a otra cuenta o permite acceso público, el Analizador de acceso de IAM genera un resultado. Sin embargo, si habilita Bloqueo de acceso público en su bucket, puede bloquear el acceso a la cuenta o al bucket.
nota
El Analizador de acceso de IAM no analiza la política de puntos de acceso adjunta a los puntos de acceso entre cuentas porque el punto de acceso y su política están fuera de la cuenta del analizador. El Analizador de acceso de IAM genera un resultado público cuando un bucket delega el acceso a un punto de acceso entre cuentas y Bloqueo de acceso público no está habilitado en el bucket o la cuenta. Cuando se habilita Bloqueo de acceso público, se resuelve la detección pública y el Analizador de acceso de IAM genera una detección de cuenta cruzada para el punto de acceso entre cuentas.
La configuración de Bloqueo de acceso público de Amazon S3 anula las políticas de bucket que se aplican al bucket. La configuración también anula las políticas de puntos de acceso aplicadas a los puntos de acceso del bucket. El Analizador de acceso de IAM analiza la configuración de Bloqueo de acceso público en el bucket cada vez que cambia una política. Sin embargo, evalúa la configuración de Bloqueo de acceso público en la cuenta solo una vez cada 6 horas. Esto significa que el Analizador de acceso de IAM podría no generar o resolver un resultado para acceso público a un bucket durante un máximo de 6 horas. Por ejemplo, si tiene una política de bucket que permite el acceso público, el Analizador de acceso de IAM genera un resultado para ese acceso. Si, a continuación, habilita Bloqueo de acceso público para bloquear todo el acceso público al bucket en la cuenta, el Analizador de acceso de IAM no resuelve el resultao para la política del bucket durante un máximo de 6 horas, incluso aunque se bloquee todo el acceso público al bucket. La resolución de resultados públicos para puntos de acceso entre cuentas también puede tardar hasta 6 horas una vez que se activa Bloqueo de acceso público en la cuenta.
En el caso de un punto de acceso de región múltiple, el Analizador de acceso de IAM utiliza una política establecida para generar resultados. El Analizador de acceso de IAM evalúa los cambios en los puntos de acceso de región múltiple una vez cada 6 horas. Esto significa que el Analizador de acceso de IAM no genera ni resuelve una búsqueda durante un máximo de 6 horas, incluso si se crea o elimina un punto de acceso de región múltiple o actualiza la política correspondiente.
Buckets de directorio de Amazon Simple Storage Service Batch
Los buckets de directorio de Amazon S3 utilizan la clase de almacenamiento Amazon S3 Express One, que se recomienda para cargas de trabajo o aplicaciones de rendimiento crítico. Para buckets de directorio de Amazon S3, el Analizador de acceso de IAM analiza las políticas de buckets de directorio, incluidas las declaraciones de condición de una política, que permiten a una entidad externa acceder a un bucket de directorio. Para obtener más información acerca de los buckets de directorio de Amazon S3, consulte Buckets de directorio en la Guía del usuario de Amazon Simple Storage Service.
Roles de AWS Identity and Access Management
Para las funciones de IAM, el Analizador de acceso de IAM analiza las Políticas de confianza. En una política de confianza de rol, defina las entidades principales en las que confía para asumir el rol. Una política de confianza de rol es una política basada en recursos requerida que se adjunta a un rol en IAM. El Analizador de acceso de IAM genera resultado para roles dentro de la zona de confianza a la que puede acceder una entidad externa que está fuera de su zona de confianza.
nota
Un rol de IAM es un recurso global. Si una política de confianza de rol concede acceso a una entidad externa, el Analizador de acceso de IAM genera un resultado en cada región habilitada.
Claves de AWS Key Management Service
Para AWS KMS keys, el Analizador de acceso de IAM analiza las políticas de clave y las concesiones aplicadas a una clave. El Analizador de acceso de IAM genera un resultado si una política de claves o concesión permite a una entidad externa acceder a la clave. Por ejemplo, si utiliza la clave de condición kms:CallerAccount en una declaración de política para permitir el acceso a todos los usuarios en una cuenta de AWS concreta y especifica una cuenta distinta de la cuenta actual (la zona de confianza del analizador actual), el Analizador de acceso de IAM genera un resultado. Para obtener más información sobre las claves de condición de AWS KMS en las declaraciones de política de IAM, consulte Claves de condición de AWS KMS.
Cuando el Analizador de acceso de IAM analiza una clave de KMS, lee los metadatos de clave, como la política de claves y la lista de concesiones. Si la política de claves no permite que el rol del Analizador de acceso de IAM lea los metadatos de clave, se genera un resultado de error Acceso denegado. Por ejemplo, si la siguiente declaración de política de ejemplo es la única política aplicada a una clave, se produce un resultado de error acceso denegado en el Analizador de acceso de IAM.
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Admin" }, "Action": "kms:*", "Resource": "*" }
Dado que esta declaración permite que solo el rol denominado Admin de la cuenta 111122223333 de AWS tenga acceso a la clave, se genera un resultado de error Acceso denegado porque el Analizador de acceso de IAM no puede analizar completamente la clave. Se muestra un hallazgo de error en texto rojo en la tabla Resultados. El resultado es similar al siguiente.
{ "error": "ACCESS_DENIED", "id": "12345678-1234-abcd-dcba-111122223333", "analyzedAt": "2019-09-16T14:24:33.352Z", "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a", "resourceType": "AWS::KMS::Key", "status": "ACTIVE", "updatedAt": "2019-09-16T14:24:33.352Z" }
Cuando se crea una clave de KMS, los permisos concedidos para acceder a la clave dependen de cómo se crea la clave. Si recibe un resultado de error Acceso denegado para un recurso clave, aplique la siguiente declaración de política al recurso de la clave para conceder permiso al Analizador de acceso de IAM para acceder a la clave.
{ "Sid": "Allow IAM Access Analyzer access to key metadata", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer" }, "Action": [ "kms:DescribeKey", "kms:GetKeyPolicy", "kms:List*" ], "Resource": "*" },
Después de recibir un resultado de Acceso denegado para un recurso de clave de KMS y, a continuación, resolver el resultado actualizando la política de claves, el resultado se actualiza al estado Resuelto. Si hay instrucciones de política o concesiones de clave que conceden permiso a la clave a una entidad externa, es posible que vea resultados adicionales para el recurso clave.
Funciones y capas de AWS Lambda
Para las funciones de AWS Lambda, el Analizador de acceso de IAM analiza las políticas, incluidas las declaraciones de condición de una política, que conceden acceso a la función a una entidad externa. Con Lambda, puede adjuntar políticas únicas basadas en recursos a funciones, versiones, alias y capas. El Analizador de acceso de IAM informa sobre el acceso externo en función de las políticas basadas en los recursos asociadas a las funciones y capas. El Analizador de acceso de IAM no informa sobre el acceso externo en función de las políticas basadas en recursos asociadas a los alias y a las versiones específicas que se invocan mediante un ARN cualificado.
Para obtener más información, consulte Uso de políticas basadas en recursos para Lambda y Uso de versiones en la Guía para desarrolladores de AWS Lambda.
Colas de Amazon Simple Queue Service
Para las colas de Amazon SQS, el Analizador de acceso de IAM analiza las políticas, incluidas las declaraciones de condición de una política, que permiten a una entidad externa acceder a una cola.
secretos de AWS Secrets Manager
Para los secretos de AWS Secrets Manager, el Analizador de acceso de IAM analiza las políticas, incluidas las declaraciones de condición de una política, que permiten a una entidad externa acceder a un secreto.
Temas de Amazon Simple Notification Service
El Analizador de acceso de IAM analiza las políticas basadas en recursos adjuntadas a los temas de Amazon SNS, incluidas las declaraciones de condición de las políticas que permiten el acceso externo a un tema. Se puede permitir que cuentas externas realicen acciones de Amazon SNS, tales como suscribirse a temas y publicarlos, mediante una política basada en recursos. Un tema de Amazon SNS es accesible externamente si las entidades principales de una cuenta situada fuera de la zona de confianza pueden realizar operaciones en el tema. Cuando se elige Everyone
en la política al crear un tema de Amazon SNS, el tema queda accesible al público. AddPermission
es otra forma de agregar una política basada en recursos a un tema de Amazon SNS que permita el acceso externo.
Instantáneas de volúmenes de Amazon Elastic Block Store
Las instantáneas de volúmenes de Amazon Elastic Block Store no tienen políticas basadas en recursos. Una instantánea se comparte a través de permisos de uso compartido de Amazon EBS. En el caso de las instantáneas de volúmenes de Amazon EBS, el Analizador de acceso de IAM analiza las listas de control de acceso que permiten a una entidad externa acceder a una instantánea. Una instantánea de volumen de Amazon EBS se puede compartir con cuentas externas cuando está cifrada. Una instantánea de volumen sin cifrar se puede compartir con cuentas externas y conceder acceso público. La configuración de uso compartido está en el atributo CreateVolumePermissions
de la instantánea. Cuando los clientes previsualizan el acceso externo a una instantánea de Amazon EBS, pueden especificar la clave de cifrado como indicador de que la instantánea está cifrada, de manera parecida a la forma en que la vista previa del Analizador de acceso de IAM gestiona los secretos de Secrets Manager.
Instantáneas de base de datos de Amazon Relational Database Service
Las instantáneas de base de datos de Amazon RDS no tienen políticas basadas en recursos. Una instantánea de base de datos se comparte mediante permisos de base de datos de Amazon RDS, y solo se pueden compartir instantáneas de base de datos manuales. En el caso de las instantáneas de base de Amazon RDS, el Analizador de acceso de IAM analiza las listas de control de acceso que permiten a una entidad externa acceder a una instantánea. Las instantáneas de base de datos sin cifrar pueden ser públicas. Las instantáneas de base de datos cifradas no se pueden compartir públicamente, pero se pueden compartir con hasta 20 cuentas más. Para obtener más información, consulte Creación de una instantánea de base de datos. El Analizador de acceso de IAM considera la posibilidad de exportar una instantánea manual de base de datos (por ejemplo, a un bucket de Amazon S3) como acceso de confianza.
nota
El Analizador de acceso de IAM no identifica el acceso público o entre cuentas configurado directamente en la propia base de datos. El Analizador de acceso de IAM solo identifica los resultados de acceso público o entre cuentas configurado en la instantánea de base de datos de Amazon RDS.
Instantáneas de clúster de base de datos de Amazon Relational Database Service
Las instantáneas de clúster de base de datos de Amazon RDS no tienen políticas basadas en recursos. Una instantánea se comparte a través de permisos de clúster de base de datos de Amazon EBS. En el caso de las instantáneas de clúster de base de Amazon RDSel Analizador de acceso de IAM analiza las listas de control de acceso que permiten a una entidad externa acceder a una instantánea. Las instantáneas de clúster sin cifrar pueden ser públicas. Las instantáneas de clúster cifradas no se pueden compartir públicamente. Las instantáneas de clúster, cifradas y sin cifrar, se pueden compartir con hasta 20 cuentas más. Para obtener más información, consulte Creación de una instantánea de clúster de base de datos. El Analizador de acceso de IAM considera la posibilidad de exportar una instantánea de clúster de base de datos (por ejemplo, a un bucket de Amazon S3) como acceso de confianza.
nota
Los resultados del Analizador de acceso de IAM no incluyen la supervisión de ningún recurso compartido de clústeres y clones de base de datos de Amazon RDS con otra Cuenta de AWS u organización que utilice AWS Resource Access Manager. El Analizador de acceso de IAM solo identifica los resultados de acceso público o entre cuentas configurado en la instantánea de clúster de base de datos de Amazon RDS.
Repositorios de Amazon Elastic Container Registry
En el caso de los repositorios de Amazon ECR, el Analizador de acceso de IAM analiza las políticas basadas en recursos, incluidas las declaraciones de condición de una política, que permiten a una entidad externa acceder a un repositorio (de manera similar a otros tipos de recursos, como temas de Amazon SNS y sistemas de archivos de Amazon EFS). En el caso de los repositorios de Amazon ECR, una entidad principal debe tener permiso para ecr:GetAuthorizationToken
a través de una política basada en identidad para que se considere disponible externamente.
Sistemas de archivos de Amazon Elastic File System
En el caso de los sistemas de archivos de Amazon EFS, el Analizador de acceso de IAM analiza las políticas, incluidas las declaraciones de condición de una política, que permiten a una entidad externa acceder a un sistema de archivos. Un sistema de archivos de Amazon EFS es accesible externamente si las entidades principales de una cuenta ajena a su zona de confianza pueden realizar operaciones en ese sistema de archivos. El acceso lo definen una política de sistema de archivos que utiliza IAM y cómo está montado el sistema de archivos. Por ejemplo, montar el sistema de archivos de Amazon EFS en otra cuenta se considera accesible externamente, a menos que esa cuenta pertenezca a la organización y se haya definido la organización como zona de confianza. Si se monta el sistema de archivos desde una nube privada virtual con una subred pública, el sistema de archivos es accesible externamente. Cuando se utiliza Amazon EFS con AWS Transfer Family, las solicitudes de acceso al sistema de archivos recibidas de un servidor de Transfer Family que sea propiedad de una cuenta diferente a la del sistema de archivos se bloquean si el sistema de archivos permite el acceso público.
Amazon DynamoDB Streams
El Analizador de acceso de IAM genera un resultado si una política de DynamoDB permite al menos una acción entre cuentas que permite que una entidad externa acceda a una secuencia de DynamoDB. Para obtener más información sobre las acciones entre cuentas compatibles con DynamoDB, consulte las acciones de IAM compatibles con las políticas basadas en recursos en la Guía para desarrolladores de Amazon DynamoDB.
Tablas de Amazon DynamoDB
El Analizador de acceso de IAM genera un resultado si una política de DynamoDB permite al menos una acción entre cuentas que permite que una entidad externa acceda a una tabla o indice de DynamoDB. Para obtener más información sobre las acciones entre cuentas compatibles con DynamoDB, consulte las acciones de IAM compatibles con las políticas basadas en recursos en la Guía para desarrolladores de Amazon DynamoDB.