IAM lo ayuda a analizar el acceso y lo guía a lo largo del proceso de privilegios mínimos. A medida que cree en AWS, es necesario establecer permisos minuciosos mediante las políticas de IAM. El analizador de acceso de IAM proporciona más de 100 comprobaciones de políticas que lo ayudan a validarlas proactivamente durante su creación. Estas comprobaciones analizan su política e informan de errores, advertencias y sugerencias con recomendaciones procesables que le guían para establecer permisos seguros y funcionales. Al igual que las comprobaciones gramaticales de su procesador de texto favorito, el analizador de acceso de IAM realiza automáticamente estas comprobaciones de políticas mientras usted las crea con el editor de políticas en la consola de IAM. También puede validar sus políticas de forma programada con las API del analizador de acceso. El analizador de acceso de IAM también permite validar el acceso público y entre cuentas a los recursos antes de implementar cambios de permisos. Puede obtener una vista previa en la consola de Amazon S3 o con las API del analizador de acceso de IAM.

A medida que avanza en su proceso de mínimos privilegios, el analizador de acceso de IAM lo ayuda a revisar los accesos existentes, lo que le permite identificar y eliminar permisos externos no deseados o no utilizados. Para permitirle identificar los recursos con acceso público o entre cuentas, el analizador de acceso de IAM utiliza razonamiento automatizado para generar conclusiones exhaustivas sobre los recursos que pueden accederse desde fuera de la cuenta AWS. Para este análisis, el analizador de acceso de IAM monitorea continuamente las políticas de recursos nuevas o actualizadas y analiza los permisos otorgados para buckets de Amazon S3, claves de AWS KMS, colas de Amazon SQS, roles de IAM de AWS, funciones de AWS Lambda y secretos de AWS Secrets Manager. Para ayudarlo a eliminar los permisos no utilizados, IAM proporciona información sobre el último acceso para especificar cuándo una entidad de IAM utilizó por última vez un servicio o acción. Esto lo ayuda a reducir el acceso al permitirle identificar y eliminar fácilmente los permisos no utilizados. Para ayudarlo a establecer protecciones para los permisos, también puede analizar la última vez que las entidades de AWS Organizations accedieron a un servicio, como las unidades organizativas o cuentas. Para obtener más información sobre cómo usar los datos de “último acceso” para tomar decisiones sobre los permisos concedidos a sus entidades de IAM u Organizations, consulte Ejemplos de escenarios sobre el uso de información de acceso reciente. Las características del analizador de acceso de IAM están disponibles sin costo adicional en la consola de IAM y a través de las API del analizador de acceso de IAM.

Beneficios

Creación guiada de políticas

El analizador de acceso de IAM realiza comprobaciones de políticas que le guían para establecer permisos seguros y funcionales. Estas comprobaciones analizan sus políticas e informan de errores, advertencias y sugerencias con recomendaciones procesables para ayudarle a validar las políticas. Al igual que las comprobaciones gramaticales de su procesador de texto favorito, el analizador de acceso de IAM realiza automáticamente estas comprobaciones mientras usted las crea con el editor de políticas en la consola de IAM. También puede validar sus políticas de forma programada con las API del analizador de acceso de IAM.

Análisis exhaustivo para el acceso público y entre cuentas

El analizador de acceso de IAM analiza políticas para ayudarlo a identificar y resolver accesos, públicos o entre cuentas no deseados a sus recursos. El analizador de acceso IAM utiliza lógica matemática e inferencias para generar hallazgos completos que identifican recursos que pueden accederse desde fuera de la cuenta AWS. Estos hallazgos le ayudan a identificar los recursos con acceso público o entre cuentas que no tiene previstos. El analizador de acceso de IAM evalúa los permisos otorgados mediante políticas para buckets de Amazon S3, claves de AWS KMS, colas de Amazon SQS, roles de AWS IAM, funciones de AWS Lambda y ofrece hallazgos detallados a través de las consolas de AWS IAM, Amazon S3 y AWS Security Hub. También a través de sus API. Con el analizador de acceso de IAM, también puede obtener una vista previa de los hallazgos y validar que los cambios en las políticas conceden únicamente el acceso deseado a los recursos. Al obtener una vista previa de los hallazgos, puede evitar el acceso no deseado antes de implementar permisos.

Monitorea y reduce continuamente los permisos

El analizador de acceso de IAM monitorea y analiza continuamente las políticas de recursos nuevas o actualizadas para ayudarle a identificar los permisos que conceden acceso público y entre cuentas. Por ejemplo, cuando las políticas de bucket de Amazon S3 cambian, el analizador de acceso de IAM lo alertará de que los usuarios podrán acceder al bucket desde fuera de la cuenta.

IAM también le proporciona información sobre la última vez que se accedió cuando una entidad de IAM, como un rol de IAM, utilizó por última vez un servicio o una acción. Esto permite reducir los permisos al eliminar los que no se utilizan y al conceder solo el acceso necesario para realizar una tarea.

Ofrece la garantía de niveles de seguridad más alta

El analizador de acceso IAM utiliza razonamiento automatizado, una forma de lógica matemática e inferencia para generar hallazgos completos que identifican recursos que pueden accederse desde fuera de la cuenta AWS. Llamamos a estos resultados analíticos seguridad probable, una garantía de nivel superior para la seguridad de la nube y en la nube. Mientras que algunas herramientas le permiten probar casos de acceso particulares, el analizador de acceso de IAM utiliza las matemáticas para analizar todas las posibles solicitudes de acceso y generar hallazgos para el acceso externo. Esto le permite verificar con confianza el acceso externo.

Funcionamiento: monitoreo de acceso externo a recursos

Funcionamiento del analizador de acceso de IAM

Razonamiento automatizado para el análisis del acceso externo

El razonamiento automatizado es un área de la ciencia cognitiva que automatiza diferentes aspectos del razonamiento relacionado con la lógica matemática y formal. El grupo de razonamiento automatizado de AWS diseña algoritmos y construye códigos que pueden razonar sobre los recursos, las configuraciones y la infraestructura de la nube para proporcionar garantías sobre los aspectos de sus comportamientos rápidamente. En el caso de las políticas de recursos, AWS los transforma en fórmulas de lógica precisa, y luego usa los razonadores automatizados para resumir completamente cuales son los recursos que conceden acceso público o entre cuentas. Obtenga más información sobre cómo las herramientas de razonamiento automatizado y los métodos dentro de Amazon Web Services proporcionan una garantía de seguridad de mayor nivel para la nube al leer “Razonamiento formal sobre AWS ”.

Obtenga más información sobre las características de AWS IAM

Visite la página de características
¿Listo para crear?
Introducción a AWS IAM
¿Tiene más preguntas?
Contacte con nosotros