Generar políticas basadas en la actividad de acceso - AWS Identity and Access Management

Generar políticas basadas en la actividad de acceso

Como administrador o desarrollador, puede conceder permisos a entidades (usuarios o roles) de IAM más allá de lo que requieren. IAM proporciona varias opciones para ayudarle a refinar los permisos que concede. Una opción es generar una política de IAM basada en la actividad de acceso de una entidad. El analizador de acceso de IAM revisa los registros de AWS CloudTrail y genera una plantilla de política que contiene los permisos que la entidad ha utilizado en su intervalo de fechas especificado. Puede utilizar la plantilla para crear una política con permisos detallados que otorguen solo los permisos necesarios para admitir su caso de uso específico.

Por ejemplo, imagine que usted es un desarrollador y que su equipo de ingeniería ha estado trabajando en un proyecto para crear una nueva aplicación. Para fomentar la experimentación y permitir que su equipo se mueva rápidamente, ha configurado un rol con amplios permisos mientras la aplicación está en desarrollo. Ahora la aplicación está lista para la producción. Antes de que la aplicación pueda iniciarse en la cuenta de producción, querrá identificar solo los permisos que necesita el rol para que la aplicación funcione. Esto le ayudará a cumplir mejor las prácticas recomendadas para conceder privilegios mínimos. Puede generar una política basada en la actividad de acceso del rol que ha estado utilizando para la aplicación en la cuenta de desarrollo. Puede refinar aún más la política generada y, a continuación, asociarla a una entidad en su cuenta de producción.

Para obtener más información acerca de la generación de políticas de IAM Access Analyzer, consulte Generación de políticas de IAM Access Analyzer.