Perfeccionar los permisos en AWS con la información sobre los últimos accesos - AWS Identity and Access Management

Perfeccionar los permisos en AWS con la información sobre los últimos accesos

Como administrador, puede conceder permisos a más entidades (usuarios o roles) de las que lo necesitan. IAM proporciona información sobre los accesos recientes, lo que puede ayudarle a identificar los permisos que no se han utilizado para eliminarlos. Puede utilizar la información sobre los accesos recientes para perfeccionar las políticas y limitar el acceso exclusivamente a los servicios y acciones que las entidades utilizan. Esto le ayudará a cumplir mejor las prácticas recomendadas del principio de privilegios mínimos. Puede consultar la información sobre los últimos accesos de entidades o políticas de IAM o AWS Organizations.

Tipos de información para IAM sobre los últimos accesos

Cuando consulte la información sobre los últimos accesos, encontrará dos tipos de información en las entidades de IAM: información sobre los servicios de AWS permitidos e información sobre las acciones permitidas. Esta información incluye la fecha y la hora en que se realizó el intento. Las acciones cuya información de acceso reciente está disponible son acciones de administración de Amazon EC2, IAM, Lambda y Amazon S3. que incluyen acciones de creación, eliminación y modificación. Si necesita más información para ver la información de IAM sobre los últimos accesos, consulte Visualización de la información de acceso reciente de IAM.

Si desea ver escenarios de ejemplo en los que la información de acceso reciente se utiliza para tomar decisiones sobre los permisos concedidos a las entidades de IAM, consulte Ejemplos de escenarios sobre el uso de información de acceso reciente.

Para obtener más información acerca de cómo se suministra la información sobre las acciones de administración, consulte Cosas que debe saber sobre la información de acceso reciente.

Información de acceso reciente de AWS Organizations

Si inicia sesión con las credenciales de management account, podrá ver información sobre los últimos accesos a servicios de una política o entidad de AWS Organizations de la organización. Las entidades de AWS Organizations pueden ser cuentas, unidades organizativas (OU) o la raíz de la organización. En la información de acceso reciente de AWS Organizations, se incluyen los servicios permitidos por una política de control de servicios (SCP). Se indica qué entidades principales de una organización o cuenta intentaron acceder por última vez al servicio y cuándo lo hicieron. Para obtener más información sobre el informe y cómo consultar la información de AWS Organizations sobre los últimos accesos, consulte Ver la información de acceso reciente de Organizations.

Si desea ver escenarios de ejemplo en los que la información de acceso reciente se utiliza para tomar decisiones sobre los permisos concedidos a las entidades de Organizations, consulte Ejemplos de escenarios sobre el uso de información de acceso reciente.

Cosas que debe saber sobre la información de acceso reciente

Antes de usar los datos de un informe sobre los últimos accesos para cambiar los permisos de una entidad de IAM o Organizations, revise la siguiente información.

  • Período de seguimiento: por lo general, la actividad reciente aparece en la consola de IAM al cabo de unas cuatro horas. El período de seguimiento de los servicios contiene información de los últimos 400 días. El periodo de seguimiento de la información de las acciones de Amazon S3 comenzó el 12 de abril de 2020. El periodo de seguimiento de las acciones de Amazon EC2, IAM y Lambda comenzó el 7 de abril de 2021. Para obtener más información, consulte En qué regiones de AWS se hace un seguimiento de la información de acceso reciente.

  • Intentos informados:– los últimos datos del servicio a los que se ha accedido incluyen todos los intentos de acceso a una API de AWS, no solo los intentos que han funcionado. Esto incluye todos los intentos que se realizaron mediante la AWS Management Console, la API de AWS a través de cualquiera de los SDK o cualquiera de las herramientas de la línea de comandos. Una entrada inesperada en los datos de los últimos servicios a los que se ha accedido no significa que su cuenta se haya visto comprometida, ya que puede haberse denegado la solicitud. Consulte los logs de CloudTrail, como la fuente autorizada de información sobre todas las llamadas a la API, y si funcionaron o se les denegó el acceso.

  • PassRole: no se realiza ningún seguimiento de la acción iam:PassRole y esta acción no se incluye en la información de IAM sobre los últimos accesos a la acción.

  • Información sobre los últimos accesos a las acciones: puede consultar información sobre la última vez que las entidades de IAM accedieron a las acciones de administración de Amazon EC2, IAM, Lambda y Amazon S3. IAM proporciona información sobre las acciones en los eventos de administración de Amazon EC2, IAM, Lambda y Amazon S3 registrados en CloudTrail. A veces, los eventos de administración de CloudTrail también se denominan «operaciones de plano de control» o «eventos de plano de control». Los eventos de administración proporcionan visibilidad sobre las operaciones de administración que se realizan en los recursos de una cuenta de AWS. Para obtener más información sobre los eventos de administración en CloudTrail, consulte Registro de eventos de administración con Cloudtrail.

  • Propietario del informe: solo la entidad principal que genera un informe puede ver los detalles del informe. Esto significa que, cuando consulte los datos en AWS Management Console, es posible que tenga que esperar a que se generen y se carguen. Si utiliza la AWS CLI o la API de AWS para obtener los detalles del informe, sus credenciales deben coincidir con las credenciales de la entidad principal que generó el informe. Si utiliza credenciales temporales para un rol o usuario federado, debe generar y recuperar el informe durante la misma sesión. Para obtener más información acerca de las entidades principales de sesión de rol asumible, consulte Elementos de la política de JSON de AWS: Principal.

  • Entidades de IAM: la información de IAM incluye las entidades de IAM (usuarios o roles) de la cuenta. La información de Organizations incluye entidades principales (usuarios de IAM, roles de IAM o el Usuario raíz de Cuenta de AWS ) de la entidad de Organizations especificada. La información no incluye los intentos no autenticados.

  • Tipos de políticas de IAM: la información de IAM incluye los servicios permitidos por las políticas de entidades de IAM. Estas son las políticas asociadas a un rol o asociadas a un usuario directamente o a través de un grupo. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en recursos, las listas de control de acceso, las SCP de AWS Organizations, los límites de permisos de IAM y las políticas de sesión. Los permisos que proporcionan los roles vinculados a servicios los define el servicio al que están vinculados y no se pueden modificar en IAM. Para obtener más información sobre los roles vinculados a servicios, consulte Uso de roles vinculados a servicios. Si necesita información acerca de cómo se evalúan los diferentes tipos de políticas para permitir o denegar el acceso, consulte Lógica de evaluación de políticas.

  • Tipos de políticas de Organizations: la información de AWS Organizations solo incluye los servicios permitidos por las políticas de control de servicios (SCP) heredadas de la entidad de Organizations. Las SCP son políticas asociadas a una raíz, unidad organizativa o cuenta. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en identidades, las políticas basadas en recursos, las listas de control de acceso, los límites de permisos de IAM y las políticas de sesión. Para obtener información sobre cómo los diferentes tipos de políticas se evalúan para permitir o denegar el acceso, consulte Lógica de evaluación de políticas.

  • Especificación de un ID de política: cuando usa AWS CLI o la API de AWS para generar un informe con la información de acceso reciente de Organizations, si lo desea, puede especificar el ID de una política. El informe resultante contendrá información sobre los servicios que están permitidos solo en esa política. Los datos contienen la actividad más reciente registrada en la cuenta de la entidad de Organizations especificada o los elementos secundarios de la entidad. Para obtener más información, consulte aws iam generate-organizations-access-report o GenerateOrganizationsAccessReport.

  • Organizations management account – Debe iniciar sesión en la de su organización para ver la última información de servicio management account a la que se ha accedido. Puede ver los datos de management account utilizando la consola de IAM, el AWS CLI, o la API de AWS. El informe resultante muestra una lista de todos los servicios de AWS, ya que la management account no se está limitada por SCP. Si especifica un ID de política en la CLI o la API, la política no se tiene en cuenta. En cada servicio, el informe incluye únicamente la información de la management account. Sin embargo, los informes de otras entidades de Organizations no devuelven información sobre la actividad de la management account.

  • Configuración de Organizations: un administrador debe habilitar SCP en su raíz de la organización antes de que pueda generar datos para Organizations.

Permisos necesarios

Para poder ver la información de acceso reciente en AWS Management Console, debe tener una política que conceda los permisos necesarios:

Permisos para la información de IAM

Si desea utilizar la consola de IAM para ver la información de acceso reciente de un usuario, rol o política de IAM, debe contar con una política que incluya las siguientes acciones:

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

Estos permisos permiten a un usuario ver lo siguiente:

  • Qué usuarios, grupos o roles están asociados a una política administrada

  • A qué servicios puede acceder un usuario o rol

  • La última vez que se accedió al servicio

  • La última vez que intentaron usar una acción específica de Amazon EC2, IAM, Lambda o Amazon S3.

Para poder ver la información de acceso reciente de IAM con AWS CLI o la API de AWS, debe contar con los permisos adecuados sobre la operación que desee utilizar:

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

En este ejemplo se muestra cómo es posible crear una política de IAM con la que permite ver la información de acceso reciente de IAM. Además, permite acceso de solo lectura a todas las partes de IAM.Esta política define permisos para el acceso mediante programación y a la consola.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }

Permisos para la información de AWS Organizations

Para utilizar la consola de IAM para ver un informe de la raíz, unidad organizativa o entidades de la cuenta de Organizations, debe contar con una política que incluya las siguientes acciones:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Para ver la información de Organizations sobre los últimos servicios a los que se ha accedido con AWS CLI o la API de AWS, debe tener una política que incluya las siguientes acciones:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

En este ejemplo se muestra cómo es posible crear una política de IAM con la que permite ver la información de Organizations sobre el último servicio al que se ha accedido. Además, permite acceso de solo lectura a todas las partes de Organizations.Esta política define permisos para el acceso mediante programación y a la consola.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }

También puede utilizar la clave de condición iam:OrganizationsPolicyId para poder generar un informe solo para una política de Organizations concreta. Para ver una política de ejemplo, consulte IAM: Ver la información de últimos accesos para una política de Organizations..

Actividad de solución de problemas de IAM y entidades de Organizations

En algunos casos, la tabla de información de acceso reciente de AWS Management Console podría estar vacía. O es posible que AWS CLI o la API de AWS devuelvan un conjunto de datos vacío o un campo nulo. En estos casos, revise los siguientes problemas:

  • En el caso de la información sobre las últimas acciones a las que se ha accedido, es posible que la acción que espera ver no aparezca en la lista. Esto puede ocurrir porque la entidad de IAM no tiene permisos para esta acción o porque AWS aún no hace un seguimiento de la información sobre los últimos accesos a esta acción.

  • Para un usuario de IAM, asegúrese de que el usuario tenga al menos una política asociada administrada o insertada, ya sea directamente o a través de suscripciones a grupos.

  • Para un grupo de IAM, verifique que el grupo tenga al menos una política asociada administrada o insertada.

  • En el caso de los grupos de IAM, el informe solo devuelve información de acceso reciente de los servicios a los que accedieron los miembros que utilizaron las políticas del grupo para acceder al servicio. Para saber si un miembro ha utilizado otras políticas, consulte la información de acceso reciente de dicho usuario.

  • Para un rol de IAM, verifique que el rol tenga al menos una política asociada administrada o insertada.

  • Para una entidad de IAM (usuario o rol), revise otros tipos de políticas que puedan afectar a los permisos de dicha entidad. Estos incluyen las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte Tipos de políticas o Evaluación de políticas dentro de una misma cuenta.

  • Para una política de IAM, asegúrese de que la política administrada especificada esté asociada al menos con un usuario, grupo con miembros o rol.

  • Para una entidad de Organizations (raíz, unidad organizativa o cuenta), asegúrese de que ha iniciado sesión con las credenciales de la cuenta maestra de Organizations management account.

  • Compruebe que las SCP están habilitadas en la raíz de su organización.

  • La información sobre los últimos accesos solo está disponible para algunas acciones de Amazon EC2, IAM, Lambda y Amazon S3.

Cuando realice los cambios, espere al menos 4 horas para que aparezca la actividad en su informe de la consola de IAM. Si utiliza AWS CLI o la API de AWS, debe generar un nuevo informe para ver los datos actualizados.

En qué regiones de AWS se hace un seguimiento de la información de acceso reciente

AWS recopila la información de acceso reciente en las regiones estándar de AWS. Si se incorporan nuevas regiones en AWS, se agregarán a la tabla siguiente y se incluirá la fecha en que AWS comenzó a hacer un seguimiento de la información en cada región:

  • Información del servicio: el período de seguimiento de los servicios abarca los últimos 400 días, aunque puede ser inferior si la compatibilidad de esta característica en la región comenzó durante el último año.

  • Información sobre las acciones: el período de seguimiento de las acciones de administración de Amazon S3 comenzó el 12 de abril de 2020. El periodo de seguimiento de las acciones de administración de Amazon EC2, IAM y Lambda comenzó el 7 de abril de 2021. Si la región comenzó a admitir una acción en una fecha posterior, entonces esa fecha también es la fecha de inicio del seguimiento de la acción para la región.

Nombre de la región Región Fecha de inicio del seguimiento
EE.UU. Este (Ohio) us-east-2 27 de octubre de 2017
US East (N. Virginia) us-east-1 1 de octubre de 2015
EE.UU. Oeste (Norte de California) us-west-1 1 de octubre de 2015
EE.UU. Oeste (Oregón) us-west-2 1 de octubre de 2015
Asia Pacífico (Hong Kong) ap-east-1 24 de abril de 2019
Asia Pacífico (Mumbai) ap-south-1 27 de junio de 2016
Asia Pacífico (Seúl) ap-northeast-2 6 de enero de 2016
Asia Pacífico (Singapur) ap-southeast-1 1 de octubre de 2015
Asia Pacífico (Sídney) ap-southeast-2 1 de octubre de 2015
Asia Pacífico (Tokio) ap-northeast-1 1 de octubre de 2015
Canadá (Central) ca-central-1 28 de octubre de 2017
Europa (Fráncfort) eu-central-1 1 de octubre de 2015
Europa (Estocolmo) eu-north-1 12 de diciembre de 2018
Europa (Irlanda) eu-west-1 1 de octubre de 2015
Europa (Londres) eu-west-2 28 de octubre de 2017
Europa (Milán) eu-south-1 28 de abril de 2020
Europa (París) eu-west-3 18 de diciembre de 2017
Medio Oriente (Baréin) me-south-1 29 de julio de 2019
África (Ciudad del Cabo) af-south-1 22 de abril de 2020
América del Sur (São Paulo) sa-east-1 11 de diciembre de 2015

Si una región no aparece en la tabla anterior, significa que dicha región no proporciona todavía información sobre los últimos accesos.

Una región de AWS es una colección de recursos de AWS que se encuentran en un área geográfica. Las regiones se agrupan en particiones. Las regiones estándar son las regiones que pertenecen a la partición aws. Para obtener más información de las distintas particiones, consulte este artículo sobre el formato de los nombres de recurso de Amazon (ARN) en la AWS General Reference. Para obtener más información sobre las regiones, consulte Acerca de las regiones de AWS, también en la AWS General Reference.