- Seguridad, identidad y cumplimiento›
- Analizador de acceso de AWS IAM›
- Características
Características del analizador de acceso de AWS IAM
Información general
El Analizador de acceso de IAM lo guía hacia el privilegio mínimo al proporcionarle herramientas para establecer, verificar y refinar los permisos. Como herramienta integral de análisis de permisos y validación de políticas, el Analizador de acceso de IAM ofrece resultados de acceso, verificaciones de políticas y generación de políticas.
El Analizador de acceso de IAM emplea seguridad demostrable para proporcionar hallazgos exhaustivos sobre accesos externos, internos y no utilizados, además de ofrecer verificaciones personalizadas de políticas. La seguridad comprobable se basa en la tecnología de razonamiento automatizado, que es la aplicación de lógica matemática para ayudar a responder preguntas críticas sobre su infraestructura, incluidos los permisos de AWS. Para aprender cómo las herramientas y métodos de razonamiento automatizado de AWS ofrecen un nivel superior de garantía de seguridad en la nube, consulte ¿Qué es el razonamiento automatizado? o descargue el informe técnico Razonamiento formal sobre la seguridad de Amazon Web Services.
Establecer permisos detallados
Abrir todo
IAM Access Analyzer genera una política detallada basada en la actividad de acceso capturada en los registros de AWS CloudTrail. Esto significa que después de crear y ejecutar una aplicación, puede generar políticas IAM que concedan solo los permisos necesarios para operar la aplicación.
IAM Access Analyzer lo guía para crear y validar políticas seguras y funcionales basadas en las mejores prácticas de IAM. Por ejemplo, si la política contiene el permiso IAM:PassRole con un asterisco en el elemento Resource, el Analizador de acceso de IAM lo marca como una advertencia de seguridad. El Analizador de acceso de IAM incluye cuatro tipos de hallazgos para la validación de políticas: advertencias de seguridad, errores, advertencias generales y sugerencias de prácticas recomendadas de IAM para las políticas. Los hallazgos ofrecen recomendaciones prácticas que ayudan a redactar políticas funcionales y alineadas con las prácticas recomendadas de AWS y los estándares de seguridad.
Verifique quién puede acceder a qué
Abrir todo
El Analizador de acceso de IAM proporciona orientación para verificar que el acceso externo existente se ajuste a su intención. IAM Access Analyzer utiliza herramientas de razonamiento automatizadas para garantizar la seguridad de forma demostrable y analizar todos los accesos externos a sus recursos de AWS. Cuando inicia IAM Access Analyzer, éste supervisa continuamente los permisos de recursos nuevos o actualizados para ayudarlo a identificar los que otorgan acceso público y entre cuentas. Por ejemplo, si cambiara una política de bucket de Amazon S3, IAM Access Analyzer le avisaría de que los usuarios externos a la cuenta han podido acceder al bucket. Con este mismo análisis, IAM Access Analyzer facilita la revisión y validación del acceso público y entre cuentas antes de implementar cambios de permisos.
El Analizador de acceso de IAM identifica quién dentro de la organización de AWS tiene acceso a los recursos críticos en AWS. Utiliza razonamiento automatizado para evaluar múltiples políticas de forma conjunta y genera hallazgos cuando un usuario o rol tiene acceso a los recursos de S3, DynamoDB o RDS. Los hallazgos se agrupan en un panel unificado, lo que simplifica la revisión y administración de accesos. Puede usar Amazon EventBridge para notificar automáticamente a los equipos de desarrollo sobre nuevos hallazgos y eliminar accesos no deseados. Los resultados de acceso interno brindan a los equipos de seguridad la visibilidad necesaria para fortalecer los controles de acceso en sus recursos críticos y ayudan a los equipos de cumplimiento a demostrar los requisitos de auditoría de control de acceso.
IAM Access Analyzer valida que las políticas de IAM cumplan con sus estándares de seguridad antes de los despliegues. Las verificaciones personalizadas de políticas aprovechan el poder del razonamiento automatizado para que los equipos de seguridad detecten de forma proactiva actualizaciones no conformes en las políticas. Por ejemplo, los cambios en políticas de IAM que resulten más permisivos que su versión anterior se marcarían para una revisión adicional. Los equipos de seguridad pueden usar estas comprobaciones para agilizar sus revisiones, aprobar automáticamente políticas que se ajusten a sus estándares de seguridad e inspeccionar más a fondo cuando no lo hacen. Los equipos de seguridad y desarrollo pueden automatizar las revisiones de políticas a escala al integrar las verificaciones personalizadas en las herramientas y entornos donde los desarrolladores crean sus políticas, como sus canalizaciones de CI/CD.
Refinar el acceso
Abrir todo
IAM Access Analyzer simplifica la inspección del acceso no utilizado para guiarlo hacia los privilegios mínimos. Los equipos de seguridad pueden usar IAM Access Analyzer para obtener visibilidad del acceso no utilizado en toda su organización de AWS y automatizar la forma en que modifican los permisos. El Analizador de acceso de IAM analiza continuamente las cuentas para identificar accesos no utilizados y ofrece recomendaciones con orientación práctica para ayudar a corregirlos. Consolida los hallazgos en un panel centralizado, lo que ayuda a los equipos de seguridad a revisarlos y priorizar cuentas según el volumen de hallazgos. Los resultados destacan las funciones no utilizadas, las claves de acceso no utilizadas para los usuarios de IAM y las contraseñas no utilizadas para los usuarios de IAM. Para los usuarios y roles de IAM activos, los resultados proporcionan visibilidad de los servicios y acciones no utilizados. Los equipos de seguridad pueden automatizar los flujos de trabajo de notificación para ayudar a los equipos de desarrollo a identificar y eliminar el acceso no utilizado.
El Analizador de acceso de IAM muestra información sobre la última vez que un rol o usuario accedió a servicios y acciones de AWS, según sus políticas de IAM, en servicios seleccionados. Esto ayuda a identificar oportunidades para refinar los permisos. Con esta información, puede comparar los permisos otorgados a un rol o usuario con la fecha de su último acceso, para eliminar accesos no utilizados y afinar aún más los permisos.
Integraciones
Abrir todo
Cuando IAM Access Analyzer se integra con AWS Security Hub Cloud Security Posture Management (CSPM), los hallazgos de acceso externos y no utilizados se pueden enviar a CSPM y compararlos con los estándares y las mejores prácticas del sector de la seguridad. Esto permite analizar con mayor profundidad los patrones de seguridad y facilita la identificación de los problemas de seguridad más prioritarios. Security Hub puede incluir los hallazgos del Analizador de acceso de IAM en su análisis de la postura de seguridad.
Al integrar IAM Access Analyzer con Amazon EventBridge, puede automatizar y escalar el refinamiento de los permisos alertando a los equipos para que revisen y eliminen los permisos excesivos de sus cuentas de AWS. IAM Access Analyzer envía un evento a EventBridge cuando se genera, elimina o cambia el estado de un resultado. Para recibir hallazgos y notificaciones sobre estos, debe habilitar y crear una regla de eventos en EventBridge.