Perfeccionar los permisos con la información sobre los últimos accesos en AWS - AWS Identity and Access Management

Perfeccionar los permisos con la información sobre los últimos accesos en AWS

Como administrador, puede conceder permisos a entidades (usuarios o roles) más allá de lo que requieren. IAM proporciona información sobre los últimos accesos, lo que puede ayudarle a identificar los permisos que no se han utilizado para eliminarlos. Puede utilizar la información sobre los accesos recientes para perfeccionar las políticas y limitar el acceso exclusivamente a los servicios y acciones que las entidades utilizan. Esto le ayudará a cumplir mejor las prácticas recomendadas del principio de privilegios mínimos. Puede consultar la información sobre los últimos accesos de entidades o políticas de IAM o AWS Organizations.

Tipos de información para IAM sobre los últimos accesos

Cuando consulte la información sobre los últimos accesos, encontrará dos tipos de información en las entidades de IAM: información sobre los servicios de AWS permitidos e información sobre las acciones permitidas. Esta información incluye la fecha y la hora en que se realizó el intento. La información de última acción a la que se accede está disponible para las acciones de administración de Amazon EC2, IAM, Lambda y Amazon S3. que incluyen acciones de creación, eliminación y modificación. Si necesita más información para ver la información de IAM sobre los últimos accesos, consulte Ver la información de acceso reciente de IAM.

Si desea ver escenarios de ejemplo en los que la información de acceso reciente se utiliza para tomar decisiones sobre los permisos concedidos a las entidades de IAM, consulte Ejemplos de escenarios sobre el uso de información de acceso reciente.

Para obtener más información acerca de cómo se suministra la información sobre las acciones de administración, consulte Cosas que debe saber sobre la información de acceso reciente.

Información de acceso reciente de AWS Organizations

Si inicia sesión con las credenciales de la cuenta de administración, podrá ver información sobre los últimos accesos a servicios de una política o entidad de AWS Organizations de la organización. Las entidades de AWS Organizations pueden ser cuentas, unidades organizativas o la raíz de la organización. En la información de acceso reciente de AWS Organizations, se incluyen los servicios permitidos por una política de control de servicios (SCP). Se indica qué entidades principales de una organización o cuenta intentaron acceder por última vez al servicio y cuándo lo hicieron. Para obtener más información sobre el informe y cómo consultar la información de AWS Organizations sobre los últimos accesos, consulte Ver la información de último acceso de Organizations.

Si desea ver escenarios de ejemplo en los que la información de acceso reciente se utiliza para tomar decisiones sobre los permisos concedidos a las entidades de Organizations, consulte Ejemplos de escenarios sobre el uso de información de acceso reciente.

Cosas que debe saber sobre la información de acceso reciente

Antes de utilizar los datos de un informe sobre los últimos accesos para cambiar los permisos de una entidad de IAM o de Organizations, revise la siguiente información.

  • Período de seguimiento: por lo general, la actividad reciente aparece en la consola de IAM al cabo de unas cuatro horas. El período de seguimiento de los servicios contiene información de los últimos 400 días. El periodo de seguimiento de la información de las acciones de Amazon S3 comenzó el 12 de abril de 2020. El período de seguimiento de las acciones de Amazon EC2, IAM y Lambda comenzó el 7 de abril de 2021. Para obtener más información, consulte En qué regiones de AWS se hace un seguimiento de la información de acceso reciente .

  • Intentos informados: los datos de los últimos servicios a los que se ha accedido incluyen todos los intentos de acceso a una API de AWS, no solo los intentos que han funcionado. Esto incluye todos los intentos que se realizaron mediante la AWS Management Console, la API de AWS a través de cualquiera de los SDK, o cualquiera de las herramientas de la línea de comandos. Una entrada inesperada en los datos de los últimos servicios a los que se ha accedido no significa que su cuenta se haya visto comprometida, ya que puede haberse denegado la solicitud. Consulte los logs de CloudTrail, como la fuente autorizada de información sobre todas las llamadas a la API, y si funcionaron o se les denegó el acceso.

  • PassRole: no se realiza ningún seguimiento de la acción iam:PassRole y esta acción no se incluye en la información de IAM sobre los últimos accesos a los servicios.

  • Información de acceso reciente - Las entidades de IAM tienen acceso a la información sobre la última vez que las entidades de IAM tienen acceso a las acciones de administración de Amazon EC2, IAM, Lambda y Amazon S3. IAM proporciona información sobre acciones para eventos de administración de Amazon EC2, IAM, Lambda y Amazon S3 registrados por CloudTrail. A veces, los eventos de administración de CloudTrail también se denominan «operaciones de plano de control» o «eventos de plano de control». Los eventos de administración proporcionan visibilidad sobre las operaciones de administración que se realizan en los recursos de una cuenta de AWS. Para obtener más información sobre los eventos de administración en CloudTrail, consulte Registro de eventos de administración con Cloudtrail.

  • Propietario del informe: solo la entidad principal que genera un informe puede ver los detalles del informe. Esto significa que, cuando consulte los datos en AWS Management Console, es posible que tenga que esperar a que se generen y se carguen. Si utiliza la AWS CLI o la API de AWS para obtener los detalles del informe, sus credenciales deben coincidir con las credenciales de la entidad principal que generó el informe. Si utiliza credenciales temporales para un rol o usuario federado, debe generar y recuperar el informe durante la misma sesión. Para obtener más información acerca de las entidades principales de sesión de rol asumible, consulte Elemento de la política de JSON de AWS: Principal.

  • Entidades de IAM: la información de IAM incluye entidades de IAM (usuarios o roles) de la cuenta. La información de las Organizations incluye entidades principales de (usuarios de IAM, roles de IAM o el usuario raíz de Cuenta de AWS) en la entidad Organizations especificada. La información no incluye los intentos no autenticados.

  • Tipos de políticas de IAM: la información de IAM incluye los servicios permitidos por las políticas de entidades de IAM. Estas son las políticas asociadas a un rol o asociadas a un usuario directamente o a través de un grupo. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en recursos, las listas de control de acceso, las SCP de AWS Organizations, los límites de permisos de IAM y las políticas de sesión. Los permisos que proporcionan los roles vinculados a servicios los define el servicio al que están vinculados y no se pueden modificar en IAM. Para obtener más información sobre los roles vinculados a servicios, consulte Uso de roles vinculados a servicios. Si necesita información acerca de cómo se evalúan los diferentes tipos de políticas para permitir o denegar el acceso, consulte Lógica de evaluación de políticas.

  • Tipos de políticas de Organizations: la información de AWS Organizations solo incluye los servicios permitidos por las políticas de control de servicios (SCP) heredadas de la entidad de Organizations. Las SCP son políticas asociadas a una raíz, unidad organizativa o cuenta. El acceso permitido por otros tipos de políticas no se incluye en su informe. Los tipos de políticas excluidos incluyen las políticas basadas en identidades, las políticas basadas en recursos, las listas de control de acceso, los límites de permisos de IAM y las políticas de sesión. Para obtener información sobre cómo los diferentes tipos de políticas se evalúan para permitir o denegar el acceso, consulte Lógica de evaluación de políticas.

  • Especificación de un ID de política: cuando usa AWS CLI o la API de AWS para generar un informe con la información de acceso reciente de Organizations, si lo desea, puede especificar el ID de una política. El informe resultante contendrá información sobre los servicios que están permitidos solo en esa política. Los datos contienen la actividad más reciente registrada en la cuenta de la entidad de Organizations especificada o los elementos secundarios de la entidad. Para obtener más información, consulte aws iam generate-organizations-access-report o GenerateOrganizationsAccessReport.

  • Cuenta de gestión de Organizations - Debe iniciar sesión en la cuenta de administración de su organización para ver la última información de servicio a la que se ha accedido. Puede ver los datos de la cuenta de administración utilizando la consola de IAM, AWS CLI o la API deAWS . El informe resultante muestra una lista de todos los servicios de AWS, ya que la cuenta de administración no se está limitada por SCP. Si especifica un ID de política en la CLI o la API, la política no se tiene en cuenta. En cada servicio, el informe incluye únicamente la información de la cuenta maestra. Sin embargo, los informes de otras entidades de Organizations no devuelven información sobre la actividad de la cuenta de administración.

  • Configuración de Organizations: un administrador debe habilitar SCP en su raíz de la organización antes de que pueda generar datos para Organizations.

Permisos necesarios

Para poder ver la información de acceso reciente en AWS Management Console, debe tener una política que conceda los permisos necesarios:

Permisos para información de IAM

Si desea utilizar la consola de IAM para ver la información de acceso reciente de un usuario, rol o política de IAM, debe contar con una política que incluya las siguientes acciones:

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

Estos permisos permiten a un usuario ver lo siguiente:

  • Qué usuarios, grupos o roles están asociados a una política administrada

  • A qué servicios puede acceder un usuario o rol

  • La última vez que se accedió al servicio

  • La última vez que intentaron utilizar una acción específica de Amazon EC2, IAM, Lambda, o Amazon S3

Para poder ver la información de acceso reciente de IAM con AWS CLI o la API de AWS, debe contar con los permisos adecuados sobre la operación que desee utilizar:

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

Este ejemplo muestra cómo podría crear una política basada en identidad que permite ver la información del último acceso de IAM. Además, permite acceso de solo lectura a todas las partes de IAM. Esta política define los permisos para el acceso programático y a la consola.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }

Permisos para la información de AWS Organizations

Para utilizar la consola de IAM para ver un informe de la raíz, unidad organizativa o entidades de la cuenta de Organizations, debe contar con una política que incluya las siguientes acciones:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Para ver la información de Organizations sobre los últimos servicios a los que se ha accedido con AWS CLI o la API de AWS, debe tener una política que incluya las siguientes acciones:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Este ejemplo muestra cómo podría crear una política basada en identidad que permita ver la información del último acceso al servicio para las organizaciones. Además, permite acceso de solo lectura a todas las partes de Organizations. Esta política define los permisos para el acceso programático y a la consola.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }

También puede utilizar la clave de condición iam:OrganizationsPolicyId para poder generar un informe solo para una política de Organizations concreta. Para ver una política de ejemplo, consulte IAM: ver la información del último acceso al servicio para una política de Organizaciones.

Resolución de problemas de la actividad para entidades de IAM y Organizations

En algunos casos, la tabla de información de acceso reciente de AWS Management Console podría estar vacía. O es posible que AWS CLI o la API de AWS devuelvan un conjunto de datos vacío o un campo nulo. En estos casos, revise los siguientes problemas:

  • En el caso de la información sobre las últimas acciones a las que se ha accedido, es posible que la acción que espera ver no aparezca en la lista. Esto puede ocurrir porque la entidad de IAM no tiene permisos para esta acción o porque AWS aún no hace un seguimiento de la información sobre los últimos accesos a esta acción.

  • Para un usuario de IAM, asegúrese de que el usuario tenga al menos una política asociada administrada o insertada, ya sea directamente o a través de suscripciones a grupos.

  • Para un grupo de IAM, verifique que el grupo tenga al menos una política asociada administrada o insertada.

  • En el caso de los grupos de IAM, el informe solo devuelve información de acceso reciente de los servicios a los que accedieron los miembros que utilizaron las políticas del grupo para acceder al servicio. Para saber si un miembro ha utilizado otras políticas, consulte la información de acceso reciente de dicho usuario.

  • Para un rol de IAM, verifique que el rol tenga al menos una política asociada administrada o insertada.

  • Para una entidad de IAM (usuario o rol), revise otros tipos de políticas que puedan afectar a los permisos de dicha entidad. Estos incluyen las políticas basadas en recursos, las listas de control de acceso, las políticas de AWS Organizations, los límites de permisos de IAM o las políticas de sesión. Para obtener más información, consulte Tipos de políticas o Evaluación de políticas dentro de una misma cuenta.

  • Para una política de IAM, asegúrese de que la política administrada especificada esté asociada al menos con un usuario, grupo con miembros o rol.

  • Para una entidad de Organizations (raíz, unidad organizativa o cuenta), asegúrese de que ha iniciado sesión con las credenciales de la cuenta de administración de Organizations.

  • Compruebe que las SCP están habilitadas en la raíz de su organización.

  • La información sobre los últimos accesos solo está disponible para algunas acciones de Amazon EC2, IAM, Lambda, y Amazon S3.

Cuando realice los cambios, espere al menos 4 horas para que aparezca la actividad en su informe de la consola de IAM. Si utiliza AWS CLI o la API de AWS, debe generar un nuevo informe para ver los datos actualizados.

En qué regiones de AWS se hace un seguimiento de la información de acceso reciente

AWS recopila la información de acceso reciente en las regiones estándar de AWS. Si se incorporan nuevas regiones en AWS, se agregarán a la tabla siguiente y se incluirá la fecha en que AWS comenzó a hacer un seguimiento de la información en cada región:

  • Información del servicio: el período de seguimiento de los servicios abarca los últimos 400 días, aunque puede ser inferior si la compatibilidad de esta característica en la región comenzó durante el último año.

  • Información sobre las acciones: el período de seguimiento de las acciones de administración de Amazon S3 comenzó el 12 de abril de 2020. El período de seguimiento de las acciones de administración de Amazon EC2, IAM y Lambda comenzó el 7 de abril de 2021. Si la región comenzó a apoyar una acción en una fecha posterior, dicha fecha también será la fecha de inicio de seguimiento de la acción en la región.

Nombre de la región Región Fecha de inicio del seguimiento
US East (Ohio) us-east-2 27 de octubre de 2017
Este de EE. UU. (Norte de Virginia) us-east-1 1 de octubre de 2015
Oeste de EE. UU. (Norte de California) us-west-1 1 de octubre de 2015
Oeste de EE. UU. (Oregón) us-west-2 1 de octubre de 2015
Asia Pacífico (Hong Kong) ap-east-1 24 de abril de 2019
Asia Pacific (Jakarta) ap-southeast-3 13 de diciembre de 2021
Asia Pacífico (Mumbai) ap-south-1 27 de junio de 2016
Asia Pacífico (Seúl) ap-northeast-2 6 de enero de 2016
Asia Pacífico (Singapur) ap-southeast-1 1 de octubre de 2015
Asia Pacífico (Sídney) ap-southeast-2 1 de octubre de 2015
Asia Pacífico (Tokio) ap-northeast-1 1 de octubre de 2015
Canada (Central) ca-central-1 28 de octubre de 2017
Europe (Frankfurt) eu-central-1 1 de octubre de 2015
Europe (Stockholm) eu-north-1 12 de diciembre de 2018
Europe (Ireland) eu-west-1 1 de octubre de 2015
Europe (London) eu-west-2 28 de octubre de 2017
Europa (Milán) eu-south-1 28 de abril de 2020
Europa (París) eu-west-3 18 de diciembre de 2017
Medio Oriente (Baréin) me-south-1 29 de julio de 2019
Medio Oriente (EAU) me-central-1 30 de agosto de 2022
África (Ciudad del Cabo) af-south-1 22 de abril de 2020
South America (São Paulo) sa-east-1 11 de diciembre de 2015

Si una región no aparece en la tabla anterior, significa que dicha región no proporciona todavía información sobre los últimos accesos.

Una región de AWS es una colección de recursos de AWS que se encuentran en un área geográfica. Las regiones se agrupan en particiones. Las regiones estándar son las regiones que pertenecen a la partición aws. Para obtener más información de las distintas particiones, consulte este artículo sobre el formato de los nombres de recurso de Amazon (ARN) en la Referencia general de AWS. Para obtener más información sobre las regiones, consulte Regiones de AWS en la Referencia general de AWS.