Ver la información de acceso reciente de IAM

Puede ver la información de acceso reciente de IAM con AWS Management Console, AWS CLI o la API de AWS. Consulte la lista de servicios y sus acciones para los que se muestra la información sobre los últimos accesos. Para obtener más información sobre la información de acceso reciente, consulte Perfeccionar los permisos con la información sobre los últimos accesos en AWS.

Puede consultar información sobre los siguientes tipos de recursos en IAM. En cada caso, la información incluirá los servicios permitidos durante el período concreto del informe:

• Usuario: ver la última vez que el usuario intentó acceder a cada servicio permitido.

• Grupo de usuarios: muestra información acerca de la última vez que un miembro del grupo de usuarios intentó acceder a cada servicio permitido. Este informe también incluye el número total de miembros que intentaron el acceso.

• Rol: muestra la última vez que alguien utilizó el rol en un intento de acceder a cada servicio permitido.

• Política: muestra información acerca de la última vez que un usuario o rol intentó acceder a cada servicio permitido. Este informe también incluye el número total de entidades que intentaron el acceso.

nota

Antes de ver la información de acceso de un recurso de IAM, asegúrese de que entiende el período del informe, las entidades consultadas y los tipos de política evaluados. Para obtener más información, consulte Cosas que debe saber sobre la información de acceso reciente.

Ver información de IAM (consola)

Puede ver la información de acceso reciente de IAM en la pestaña Asesor de acceso de la consola de IAM.

Para ver información de IAM (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, elija Grupos de usuarios, Usuarios, Roles o Políticas.

3. Elija un nombre de usuario, grupo de usuarios, rol o política para abrir la página Resumen y elija la pestaña Asesor de acceso. Verá la siguiente información, en función del recurso que elija:

   • Grupo de usuarios: consulte la lista de servicios a los que pueden acceder los miembros de los grupos de usuarios. También puede ver la última vez que un miembro accedió al servicio, qué políticas de grupo de usuarios utilizó y qué miembro del grupo de usuarios realizó la solicitud. Elija el nombre de la política para obtener información acerca de si se trata de una política administrada o una política de grupo insertada de usuarios. Elija el nombre del miembro del grupo de usuarios para ver todos los miembros del grupo de usuarios y la última vez que accedió al servicio.

   • Usuario: permite ver la lista de servicios a los que puede obtener acceso el usuario. También puede ver cuándo accedió por última vez al servicio y qué políticas están actualmente asociadas con el usuario. Elija el nombre de la política para saber si se trata de una política administrada, una política de usuario en línea o una política insertada del grupo de usuarios.

   • Rol: vea la lista de servicios a los que puede acceder el rol, cuándo el rol accedió por última vez al servicio y qué políticas se utilizaron. Elija el nombre de la política para obtener información acerca de si se trata de una política administrada o una política de rol insertada.

   • Política: vea la lista de servicios con acciones permitidas en la política. También puede ver cuándo se usó la política por última vez para acceder al servicio y qué entidad (usuario o rol) la utilizó. La fecha del último acceso también incluye cuándo se concede el acceso a esta política a través de otra política. Seleccione el nombre de la entidad que quiere saber qué entidades tienen esta política asociada y cuando han accedido por última vez al servicio.

4. En la columna Servicio de la tabla, elija el nombre de uno de los servicios que incluye información sobre los últimos accesos a la acción para ver una lista de las acciones de administración a las que las entidades de IAM han intentado acceder. Podrá ver la Región de AWS y una marca de tiempo que indica la última vez que alguien intentó realizar la acción.

5. En la columna Últimos accesos, se muestran los servicios y las acciones de administración de los servicios que incluyen información sobre los últimos accesos a la acción. Consulte a continuación los resultados que pueden devolverse en esta columna. Estos resultados variarán en función de si un servicio o una acción están permitidos, si se ha accedido a ellos y si su información de acceso reciente se está supervisando en AWS.

   hace <número de> días

   Número de días desde que se utilizó el servicio o la acción en el período de seguimiento. El período de seguimiento de los servicios abarca los últimos 400 días. El periodo de seguimiento de las acciones de Amazon S3 comenzó el 12 de abril de 2020. El periodo de seguimiento de las acciones de Amazon EC2, IAM, y Lambda comenzó el 7 de abril de 2021. El periodo de seguimiento de todos los demás servicios comenzó el 23 de mayo de 2023. Para obtener más información sobre las fechas de inicio de seguimiento de cada Región de AWS, consulte Dónde AWS se hace un seguimiento de la información de acceso reciente.

   No se ha accedido en el período de seguimiento

   Ninguna entidad ha utilizado el servicio o la acción supervisados durante el período de seguimiento.

   Es posible que tenga permisos sobre una acción que no aparece en la lista. Esto puede suceder si AWS actualmente no incluye la información de seguimiento de la acción. No debe tomar decisiones de permisos basándose exclusivamente en la ausencia de cierta información de seguimiento. En su lugar, le recomendamos que utilice esta información para enriquecer y sustentar la estrategia general de conceder los mínimos privilegios posibles. Consulte sus políticas para confirmar que el nivel de acceso es el adecuado.

Ver información de IAM (AWS CLI)

Puede utilizar la API de AWS CLI para recuperar información sobre la última vez que se utilizó un recurso de IAM para intentar acceder a servicios de AWS y acciones de Amazon S3, Amazon EC2, IAM, y Lambda. Un recurso de IAM puede ser un usuario, un grupo de usuarios, un rol o una política.

Para ver información de IAM (AWS CLI)

1. Genere un informe. La solicitud debe incluir el ARN del recurso de IAM (usuario, grupo de usuarios, rol o política) para el que desea un informe. Puede especificar el nivel de detalle con el que desea generar el informe para ver los datos de acceso solo de los servicios o tanto de los servicios como de las acciones. La solicitud devuelve un job-id que puede utilizar en las operaciones get-service-last-accessed-details-with-entities y get-service-last-accessed-details para monitorear el job-status hasta que se complete el trabajo.

   • aws iam generate-service-last-accessed-details

2. Recupere detalles sobre el informe utilizando el parámetro job-id del paso anterior.

   • aws iam get-service-last-accessed-details

   Esta operación devuelve la siguiente información, en función del tipo de recurso y el nivel de detalle solicitado en la operación generate-service-last-accessed-details:

   • Usuario: devuelve una lista de los servicios a los que puede acceder el usuario especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del usuario y el ARN del usuario.

   • Grupo de usuarios: devuelve una lista de servicios a los que pueden acceder los miembros del grupo de usuarios especificado mediante las políticas adjuntas al grupo de usuarios. Para cada servicio, la operación devuelve la fecha y la hora del último intento realizado por cualquier miembro del grupo de usuarios. También devuelve el ARN de dicho usuario y el número total de los miembros del grupo de usuarios que han intentado para acceder al servicio. Utilice la operación GetServiceLastAccessedDetailsWithEntities para recuperar una lista de todos los miembros.

   • Rol: devuelve una lista de los servicios a los que puede acceder el rol especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del ro y el ARN del rol.

   • Política— Devuelve una lista de servicios a los que la política especificada permite el acceso. Para cada servicio, la operación devuelve la fecha y la hora a la que una entidad (usuario o rol) intento acceder por última vez al servicio utilizando la política. También devuelve el ARN de dicha entidad y el número total de entidades que intentaron acceder.

3. Obtenga más información sobre las entidades que utilizaron permisos de política de grupo de usuarios o política en un intento por acceder a un servicio específico. Esta operación devuelve una lista de entidades con cada ARN, ID, nombre, ruta, tipo de entidad (usuario o rol) y cuando intentaron acceder al servicio por última vez. También puede utilizar esta operación para usuarios y roles, pero solo devuelve información acerca de dicha entidad.

   • aws iam get-service-last-accessed-details-with-entities

4. Más información sobre las políticas basadas en identidad que una identidad (usuario, grupo de usuarios o rol) utiliza en un intento de acceder a un servicio específico. Cuando se especifica una identidad y un servicio, esta operación devuelve una lista de políticas de permisos que la identidad puede utilizar para acceder al servicio especificado. Esta operación proporciona el estado actual de las políticas y no depende del informe generado. Tampoco devuelve otros tipos de políticas, como las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte Tipos de políticas o Evaluación de políticas dentro de una misma cuenta.

   • aws iam list-policies-granting-service-access

Ver información de IAM (API de AWS)

Puede utilizar la API de AWS para recuperar información sobre la última vez que se utilizó un recurso de IAM para intentar acceder a servicios de AWS y acciones de Amazon S3, Amazon EC2, IAM, y Lambda. Un recurso de IAM puede ser un usuario, un grupo de usuarios, un rol o una política. Puede especificar el nivel de detalle con el que se va a generar el informe para ver los datos de acceso solo de los servicios o tanto de los servicios como de las acciones.

Para ver información de IAM (API de AWS)

1. Genere un informe. La solicitud debe incluir el ARN del recurso de IAM (usuario, grupo de usuarios, rol o política) para el que desea un informe. Devuelve un JobId que puede utilizar en las operaciones GetServiceLastAccessedDetailsWithEntities y GetServiceLastAccessedDetails para monitorizar el JobStatus hasta que se complete el trabajo.

   • GenerateServiceLastAccessedDetails

2. Recupere detalles sobre el informe utilizando el parámetro JobId del paso anterior.

   • GetServiceLastAccessedDetails

   Esta operación devuelve la siguiente información, en función del tipo de recurso y el nivel de detalle solicitado en la operación GenerateServiceLastAccessedDetails:

   • Usuario: devuelve una lista de los servicios a los que puede acceder el usuario especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del usuario y el ARN del usuario.

   • Grupo de usuarios: devuelve una lista de servicios a los que pueden acceder los miembros del grupo de usuarios especificado mediante las políticas adjuntas al grupo de usuarios. Para cada servicio, la operación devuelve la fecha y la hora del último intento realizado por cualquier miembro del grupo de usuarios. También devuelve el ARN de dicho usuario y el número total de los miembros del grupo de usuarios que han intentado para acceder al servicio. Utilice la operación GetServiceLastAccessedDetailsWithEntities para recuperar una lista de todos los miembros.

   • Rol: devuelve una lista de los servicios a los que puede acceder el rol especificado. Para cada servicio, la operación devuelve la fecha y la hora del último intento del ro y el ARN del rol.

   • Política— Devuelve una lista de servicios a los que la política especificada permite el acceso. Para cada servicio, la operación devuelve la fecha y la hora a la que una entidad (usuario o rol) intento acceder por última vez al servicio utilizando la política. También devuelve el ARN de dicha entidad y el número total de entidades que intentaron acceder.

3. Obtenga más información sobre las entidades que utilizaron permisos de política de grupo de usuarios o política en un intento por acceder a un servicio específico. Esta operación devuelve una lista de entidades con cada ARN, ID, nombre, ruta, tipo de entidad (usuario o rol) y cuando intentaron acceder al servicio por última vez. También puede utilizar esta operación para usuarios y roles, pero solo devuelve información acerca de dicha entidad.

   • GetServiceLastAccessedDetailsWithEntities

4. Más información sobre las políticas basadas en identidad que una identidad (usuario, grupo de usuarios o rol) utiliza en un intento de acceder a un servicio específico. Cuando se especifica una identidad y un servicio, esta operación devuelve una lista de políticas de permisos que la identidad puede utilizar para acceder al servicio especificado. Esta operación proporciona el estado actual de las políticas y no depende del informe generado. Tampoco devuelve otros tipos de políticas, como las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte Tipos de políticas o Evaluación de políticas dentro de una misma cuenta.

   • ListPoliciesGrantingServiceAccess