AWS Identity and Access Management
Guía del usuario

Refinado de permisos con datos de los últimos servicios a los que se ha accedido

Puede ver datos de los últimos servicios a los que se ha accedido para entidades o políticas en IAM o AWS Organizations. Estos datos está disponible para una política o entidad de IAM (usuario o rol) de su cuenta. Los datos de IAM incluyen información sobre los servicios permitidos que las entidades de IAM intentaron acceder por última vez y cuándo. Para obtener más información sobre el informe y cómo ver datos de los últimos servicios a los que se ha accedido de IAM, consulte Visualización de los datos de los últimos servicios a los que se ha accedido para IAM.

Si inicia sesión en la consola con las credenciales de la cuenta maestra, también puede ver los datos de los últimos servicios a los que se ha accedido para una política o entidad de AWS Organizations en su organización. Las entidades de AWS Organizations incluyen cuentas, unidades organizativas y raíz de la organización. Los datos de los últimos servicios a los que se ha accedido de Organizaciones incluyen información sobre los servicios permitidos a los que han intentado acceder las entidades principales en una cuenta de Organizaciones y cuándo. Para obtener más información sobre el informe y cómo ver datos de los últimos servicios a los que se ha accedido de AWS Organizations, consulte Visualización de los datos de los últimos servicios a los que se ha accedido para Organizaciones.

A continuación, puede utilizar esta información para ajustar sus políticas para permitir el acceso únicamente a los servicios que las entidades utilizan. Esto le ayudará a seguir mejor las prácticas recomendadas según el principio de privilegios mínimos.

Para ver ejemplos de escenarios para utilizar datos de los últimos servicios a los que se ha accedido para tomar decisiones sobre los permisos que conceder a las entidades de IAM o entidades de Organizaciones, consulte Ejemplo de escenarios para utilizar datos del último servicio al que se ha accedido.

Cosas que debe saber

Antes de usar datos de los últimos servicios a los que se ha accedido desde un informe para cambiar los permisos de una entidad de IAM o Organizaciones, revise los siguientes detalles sobre los datos.

  • Período de notificación: la actividad reciente aparece normalmente en la consola de IAM en unas horas. IAM informa sobre la actividad de los últimos 365 días, o menos si su región empezó a admitir esta característica en el último año. Para obtener más información, consulte Regiones en las que se realiza un seguimiento de los datos.

  • Entidades autenticadas de IAM: los datos de IAM incluyen solo las entidades autenticadas de IAM (usuarios o roles) de su cuenta. Los datos de Organizaciones incluyen solo a las entidades principales autenticadas (usuarios de IAM, roles de IAM o Usuario de la cuenta raíz de AWS) en la entidad de Organizaciones especificada. Los datos no incluyen intentos sin autenticar.

  • Tipos de políticas de IAM: los datos de IAM incluyen los servicios permitidos por las políticas de entidades de IAM. Estas son las políticas asociadas a un rol o asociadas a un usuario directamente o a través de un grupo. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en recursos, las listas de control de acceso, las SCP de AWS Organizations, los límites de permisos de IAM y las políticas de sesión. Para obtener información sobre cómo los diferentes tipos de políticas se evalúan para permitir o denegar el acceso, consulte Lógica de evaluación de políticas.

  • Tipos de políticas de Organizaciones: los datos de AWS Organizations solo incluyen los servicios permitidos por las políticas de control de servicios (SCP) heredadas de la entidad de Organizaciones. Las SCP son políticas asociadas a una raíz, unidad organizativa o cuenta. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en identidades, las políticas basadas en recursos, las listas de control de acceso, los límites de permisos de IAM y las políticas de sesión. Para obtener información sobre cómo los diferentes tipos de políticas se evalúan para permitir o denegar el acceso, consulte Lógica de evaluación de políticas.

  • Especificación de un ID de política: cuando usa la AWS CLI o la API de AWS para generar un informe de los datos de los últimos servicios a los que se ha accedido en Organizaciones, tiene la opción de especificar un ID para la política. El informe resultante incluye datos de los servicios que están permitidas solo por esa política. Los datos incluyen la actividad de la cuenta más reciente en la entidad de Organizaciones especificada o los secundarios de la entidad. Para obtener más información, consulte aws iam generate-organizations-access-report o GenerateOrganizationsAccessReport.

  • Cuenta maestra de Organizaciones: debe iniciar sesión con las credenciales de la cuenta maestra de su organización para ver los datos del último servicio al que se ha accedido. Puede optar por ver los datos de la cuenta maestra mediante la consola de IAM, la AWS CLI o la API de AWS. El informe resultante muestra una lista de todos los servicios de AWS, ya que la cuenta maestra no se está limitada por SCP. Si especifica un ID de política en la CLI o la API, la política no se tiene en cuenta. Para cada servicio, el informe solo incluye los datos de la cuenta maestra. Sin embargo, los informes de otras entidades de Organizaciones no devuelven datos de actividad en la cuenta maestra.

  • Configuración de Organizaciones: un administrador debe habilitar SCP en su raíz de la organización antes de que pueda generar datos para Organizaciones.

Permisos necesarios

Para ver los datos de los últimos servicios a los que se ha accedido en la Consola de administración de AWS, debe tener una política que incluya los permisos necesarios:

Permisos para datos de IAM

Para utilizar la consola de IAM para ver los datos de los últimos servicios a los que se ha accedido para un usuario, rol o política de IAM, debe contar con una política que incluya las siguientes acciones:

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

Estos permisos permiten a un usuario ver lo siguiente:

  • Qué usuarios, grupos o roles están asociados a una política administrada

  • A qué servicios puede acceder un usuario o rol

  • La última vez que se accedió al servicio

Para ver los datos de los últimos servicios a los que se ha accedido para IAM utilizando la AWS CLI o la API de AWS, debe tener permisos que coincidan con la operación que desea utilizar:

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

En este ejemplo se muestra cómo crear una política que permite visualizar los datos del último servicio al que se ha accedido de IAM. Además, permite acceso de solo lectura a todas las partes de IAM.Esta política también proporciona los permisos necesarios para llevar a cabo esta acción en la consola.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }

Permisos para datos de AWS Organizations

Para utilizar la consola de IAM para ver un informe de la raíz, unidad organizativa o entidades de la cuenta de Organizaciones, debe contar con una política que incluya las siguientes acciones:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Para utilizar la AWS CLI o la API de AWS para ver datos de los últimos servicios a los que se ha accedido para Organizaciones, debe tener una política que incluya las siguientes acciones:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

En este ejemplo se muestra cómo crear una política que permite visualizar los datos del último servicio al que se ha accedido de Organizaciones. Además, permite acceso de solo lectura a todas las partes de Organizaciones.Esta política también proporciona los permisos necesarios para llevar a cabo esta acción en la consola.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }

También puede utilizar la clave de condición iam:OrganizationsPolicyId para poder generar un informe solo para una política de Organizaciones concreta. Para ver una política de ejemplo, consulte IAM: Ver los datos de los últimos servicios a los que se ha accedido para una política Organizaciones.

Actividad de solución de problemas de IAM y entidades de Organizaciones

En algunos casos, la tabla de datos de los últimos servicios a los que se ha accedido en la Consola de administración de AWS podría estar vacía. O es posible que la AWS CLI o la API de AWS devuelva un conjunto de datos vacío o un campo nulo. En estos casos, revise los siguientes problemas:

  • Para un usuario de IAM, asegúrese de que el usuario tenga al menos una política asociada administrada o insertada, ya sea directamente o a través de suscripciones a grupos.

  • Para un grupo de IAM, verifique que el grupo tenga al menos una política asociada administrada o insertada.

  • Para un grupo de IAM, el informe devuelve solamente los datos de los últimos servicios a los que se ha accedido de los miembros que han utilizado las políticas del grupo para acceder a un servicio. Para saber si un miembro ha utilizado otras políticas, revise los datos de los últimos servicios a los que se ha accedido de dicho usuario.

  • Para un rol de IAM, verifique que el rol tenga al menos una política asociada administrada o insertada.

  • Para una entidad de IAM (usuario o rol), revise otros tipos de políticas que puedan afectar a los permisos de dicha entidad. Estos incluyen las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte Tipos de políticas o Evaluación de políticas dentro de una misma cuenta.

  • Para una política de IAM, asegúrese de que la política administrada especificada esté asociada al menos con un usuario, grupo con miembros o rol.

  • Para una entidad de Organizaciones (raíz, unidad organizativa o cuenta), asegúrese de que ha iniciado sesión con las credenciales de la cuenta maestra de Organizaciones.

  • Compruebe que las SCP están habilitadas en la raíz de su organización.

Cuando realice los cambios, espere al menos 4 horas para que aparezca la actividad en su informe de la consola de IAM. Si utiliza la AWS CLI o la API de AWS, debe generar un nuevo informe para ver los datos actualizados.

Regiones en las que se realiza un seguimiento de los datos

AWS recopila los datos de los últimos servicios a los que se ha accedido en la mayoría de las regiones. Los datos se almacenan durante un máximo de 365 días. Cuando AWS añade más regiones, se agregan a la tabla siguiente, indicando la fecha en que AWS comenzó a hacer el seguimiento de los datos en cada región:

Nombre de la región Región Fecha de inicio del seguimiento
EE.UU. Este (Ohio) us-east-2 27 de octubre de 2017
US East (N. Virginia) us-east-1 1 de octubre de 2015
EE.UU. Oeste (Norte de California) us-west-1 1 de octubre de 2015
EE.UU. Oeste (Oregón) us-west-2 1 de octubre de 2015
Asia Pacífico (Tokio) ap-northeast-1 1 de octubre de 2015
Asia Pacífico (Seúl) ap-northeast-2 6 de enero de 2016
Asia Pacífico (Singapur) ap-southeast-1 1 de octubre de 2015
Asia Pacífico (Sídney) ap-southeast-2 1 de octubre de 2015
Asia Pacífico (Mumbai) ap-south-1 27 de junio de 2016
Canadá (Central) ca-central-1 28 de octubre de 2017
UE (Fráncfort) eu-central-1 1 de octubre de 2015
UE Estocolmo eu-north-1 12 de diciembre de 2018
UE (Irlanda) eu-west-1 1 de octubre de 2015
UE (Londres) eu-west-2 28 de octubre de 2017
UE (París) eu-west-3 18 de diciembre de 2017
América del Sur (São Paulo) sa-east-1 11 de diciembre de 2015

Si una región no aparece en la lista de la tabla anterior, entonces significa que dicha región no proporciona todavía datos de los últimos servicios a los que se ha accedido.