IAMReadOnlyAccess IAMUserChangePassword IAMAccessAnalyzerFullAccess IAMAccessAnalyzerReadOnlyAccess AccessAnalyzerServiceRolePolicy Actualizaciones de políticas

Políticas administradas de AWS para el Analizador de acceso de AWS Identity and Access Management

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

IAMReadOnlyAccess

Para permitir el acceso de solo lectura en los recursos IAM, utilice la política administrada IAMReadOnlyAccess. Esta política concede permiso para obtener y enumerar todos los recursos de IAM. Permite ver detalles e informes de actividad para usuarios, grupos, roles, políticas, proveedores de identidad y dispositivos MFA. No incluye la capacidad de crear o eliminar recursos ni acceder a recursos del Analizador de acceso de IAM. Vea la política para conocer la lista completa de servicios y acciones que admite esta política.

IAMUserChangePassword

Utilice la política administrada IAMUserChangePassword para permitir a los usuarios de IAM cambiar sus propias contraseñas.

La Configuración de cuenta de IAM y la Política de contraseñas se configuran para permitir a los usuarios de IAM cambiar la contraseña de la cuenta de IAM. Al permitir esta acción, IAM adjunta la siguiente política a cada usuario:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

IAMAccessAnalyzerFullAccess

Utilizar la política administrada IAMAccessAnalyzerFullAccess de AWS para permitir que los administradores accedan al Analizador de acceso de IAM.

Grupos de permisos

Esta política se agrupa en instrucciones basadas en el conjunto de permisos proporcionados.

Analizador de acceso de IAM: autoriza permisos administrativos completos para todos los recursos del Analizador de acceso de IAM.
Crear rol vinculado al servicio: permite al administrador crear un rol vinculado al servicio, que permite que el Analizador de acceso de IAM analice los recursos de otros servicios en su nombre. Este permiso permite crear el rol vinculado al servicio solo para uso del Analizador de acceso de IAM.
AWS Organizations: permite a los administradores utilizar el Analizador de acceso de IAM para una organización en AWS Organizations. Después de habilitar el acceso de confianza para el Analizador de acceso de IAM en AWS Organizations, los miembros de la cuenta de administración pueden ver los resultados de su organización.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "access-analyzer:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "access-analyzer.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots"
      ],
      "Resource": "*"
    }
  ]
}

IAMAccessAnalyzerReadOnlyAccess

Utilice la política administrada de AWS IAMAccessAnalyzerReadOnlyAccess para permitir el acceso de solo lectura al Analizador de acceso de IAM.

Para permitir también acceso de solo lectura al Analizador de acceso de IAM para AWS Organizations, cree una política administrada por el cliente que permita las acciones Describir y Listar desde la política administrada de AWS IAMAccessAnalyzerFullAccess.

Permisos de nivel de servicio

Esta política proporciona acceso de solo lectura al Analizador de acceso de IAM. No se incluyen otros permisos de servicio en esta política.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMAccessAnalyzerReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "access-analyzer:CheckAccessNotGranted",
        "access-analyzer:CheckNoNewAccess",
        "access-analyzer:Get*",
        "access-analyzer:List*",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

AccessAnalyzerServiceRolePolicy

No puede adjuntar AccessAnalyzerServiceRolePolicy a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite al Analizador de acceso de IAM realizar acciones en su nombre. Para obtener más información, consulte Uso de roles vinculados a servicios para el Analizador de acceso de AWS Identity and Access Management.

Agrupaciones de permisos

Esta política permite el acceso al Analizador de acceso de IAM para analizar los metadatos de recursos de varios Servicios de AWS.

Amazon DynamoDB: otorga permisos para ver los flujos y tablas de DynamoDB.
Amazon Elastic Compute Cloud: otorga permisos para describir direcciones IP, instantáneas y VPC.
Amazon Elastic Container Registry: autoriza permisos para describir repositorios de imágenes y recuperar políticas de repositorios.
Amazon Elastic File System: autoriza permisos para ver la descripción de un sistema de archivos de Amazon EFS y ver la política de nivel de recursos de un sistema de archivos de Amazon EFS.
AWS Identity and Access Management: autoriza permisos para recuperar información sobre un rol especificado y enumerar los roles de IAM que tengan un prefijo de ruta especificado. Permite que los permisos recuperen información sobre los usuarios, los grupos de usuarios, los perfiles de inicio de sesión, las claves de acceso y los últimos datos del servicio a los que se accedió.
AWS Key Management Service: autoriza permisos para ver información detallada sobre una clave de KMS y sus autorizaciones y políticas de claves.
AWS Lambda: Autoriza permisos para ver información sobre alias, funciones y capas de Lambda.
AWS Organizations: autoriza permisos para Organizations y permite crear un analizador dentro de la organización AWS como zona de confianza.
Amazon Relational Database Service: autoriza permisos para ver información detallada sobre instantáneas de base de datos de Amazon RDS e instantáneas de clúster de base de datos de Amazon RDS.
Amazon Simple Storage Service: otorga permisos para ver información detallada sobre los puntos de acceso de Amazon S3, los buckets y los buckets de directorio de Amazon S3 que utilizan la clase de almacenamiento de Amazon S3 Express One.
AWS Secrets Manager: otorga permisos para ver información detallada sobre secretos y políticas de recursos adjuntadas a secretos.
Amazon Simple Notification Service: otorga permisos para ver información detallada sobre un tema.
Amazon Simple Queue Service: otorga permisos para ver información detallada sobre las colas especificadas.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessAnalyzerServiceRolePolicy",
      "Effect": "Allow",
      "Action": [
        "dynamodb:GetResourcePolicy",
        "dynamodb:ListStreams",
        "dynamodb:ListTables",
        "ec2:DescribeAddresses",
        "ec2:DescribeByoipCidrs",
        "ec2:DescribeSnapshotAttribute",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ec2:GetSnapshotBlockPublicAccessState",
        "ecr:DescribeRepositories",
        "ecr:GetRepositoryPolicy",
        "elasticfilesystem:DescribeFileSystemPolicy",
        "elasticfilesystem:DescribeFileSystems",
        "iam:GetRole",
        "iam:ListEntitiesForPolicy",
        "iam:ListRoles",
        "iam:ListUsers",
        "iam:GetUser",
        "iam:GetGroup",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccessKeys",
        "iam:GetLoginProfile",
        "iam:GetAccessKeyLastUsed",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "iam:ListAttachedRolePolicies",
        "iam:ListUserPolicies",
        "iam:GetUserPolicy",
        "iam:ListAttachedUserPolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListGroupsForUser",
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:ListGrants",
        "kms:ListKeyPolicies",
        "kms:ListKeys",
        "lambda:GetFunctionUrlConfig",
        "lambda:GetLayerVersionPolicy",
        "lambda:GetPolicy",
        "lambda:ListAliases",
        "lambda:ListFunctions",
        "lambda:ListLayers",
        "lambda:ListLayerVersions",
        "lambda:ListVersionsByFunction",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots",
        "rds:DescribeDBClusterSnapshotAttributes",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBSnapshotAttributes",
        "rds:DescribeDBSnapshots",
        "s3:DescribeMultiRegionAccessPointOperation",
        "s3:GetAccessPoint",
        "s3:GetAccessPointPolicy",
        "s3:GetAccessPointPolicyStatus",
        "s3:GetAccountPublicAccessBlock",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPolicy",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetMultiRegionAccessPoint",
        "s3:GetMultiRegionAccessPointPolicy",
        "s3:GetMultiRegionAccessPointPolicyStatus",
        "s3:ListAccessPoints",
        "s3:ListAllMyBuckets",
        "s3:ListMultiRegionAccessPoints",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "sns:GetTopicAttributes",
        "sns:ListTopics",
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:ListSecrets",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    }
  ]
}

IAM y el Analizador de acceso de IAM se actualizan a las políticas administradas de AWS

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS e IAM, ya que el servicio comenzó a hacer el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a las notificaciones RSS en las páginas del Historial de revisión de IAM y del Analizador de acceso de IAM.

Cambio	Descripción	Fecha
AccessAnalyzerServiceRolePolicy: permisos agregados	IAM Access Analyzer agregó compatibilidad con permisos para recuperar información sobre las políticas de roles y los usuarios de IAM a los permisos de nivel de servicio de `AccessAnalyzerServiceRolePolicy`.	30 de mayo de 2024
AccessAnalyzerServiceRolePolicy: permisos agregados	El analizador de acceso de IAM agregó compatibilidad con permisos para recuperar el estado actual del bloqueo de acceso público a las instantáneas de Amazon EC2 a los permisos de nivel de servicio de `AccessAnalyzerServiceRolePolicy`.	23 de enero de 2024
AccessAnalyzerServiceRolePolicy: permisos agregados	El analizador de acceso de IAM agregó compatibilidad con transmisiones y tablas de DynamoDB a los permisos de nivel de servicio de `AccessAnalyzerServiceRolePolicy`.	11 de enero de 2024
AccessAnalyzerServiceRolePolicy: permisos agregados	El analizador de acceso de IAM agregó compatibilidad con buckets de directorio de Amazon S3 a los permisos de nivel de servicio de `AccessAnalyzerServiceRolePolicy`.	1 de diciembre de 2023
IAMAccessAnalyzerReadOnlyAccess: permisos agregados	El Analizador de acceso de IAM agregó permisos para que usted pueda comprobar si las actualizaciones de sus políticas otorgan acceso adicional. El Analizador de acceso de IAM requiere este permiso para realizar comprobaciones de políticas en sus políticas.	26 de noviembre de 2023
AccessAnalyzerServiceRolePolicy: permisos agregados	El Analizador de acceso de IAM agregó acciones de IAM a los permisos de nivel de servicio de `AccessAnalyzerServiceRolePolicy` para admitir las siguientes acciones: Listado de las entidades de una política Generación de información sobre los últimos accesos al servicio Listado de Información de clave de acceso	26 de noviembre de 2023
AccessAnalyzerServiceRolePolicy: permisos agregados	El Analizador de acceso de IAM agregó compatibilidad con los siguientes tipos de recursos a los permisos de nivel de servicio de `AccessAnalyzerServiceRolePolicy`: Instantáneas de volúmenes de Amazon EBS Repositorios de Amazon ECR Sistemas de archivos de Amazon EFS Instantáneas de base de datos de Amazon RDS Instantáneas de clúster de base de datos de Amazon RDS Temas de Amazon SNS	25 de octubre de 2022
AccessAnalyzerServiceRolePolicy: permisos agregados	El Analizador de acceso de IAM agregó la acción `lambda:GetFunctionUrlConfig` a los permisos de nivel de servicio de `AccessAnalyzerServiceRolePolicy`.	6 de abril de 2022
AccessAnalyzerServiceRolePolicy: permisos agregados	El Analizador de acceso de IAM agregó nuevas acciones de Amazon S3 para analizar los metadatos asociados a los puntos de acceso de varias regiones.	2 de septiembre de 2021
IAMAccessAnalyzerReadOnlyAccess: permisos agregados	El Analizador de acceso de IAM agregó una nueva acción para conceder permisos de `ValidatePolicy` para permitirle utilizar las verificaciones de políticas para la validación. El Analizador de acceso de IAM requiere este permiso para realizar verificaciones de políticas en sus políticas.	16 de marzo de 2021
El Analizador de acceso de IAM ha iniciado el seguimiento de los cambios	El Analizador de acceso de IAM comenzó a realizar el seguimiento de los cambios de las políticas administradas por AWS.	1 de marzo de 2021

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración y análisis de vulnerabilidades

Analizador de acceso de IAM