AWS Identity and Access Management (IAM) lo ayuda a controlar el acceso y los permisos a sus recursos y servicios de AWS, tales como instancias informáticas y almacenamiento de buckets. Cuando utiliza las políticas de recursos, por ejemplo, IAM permite a los clientes controlar de forma granular quién puede acceder a un recurso específico y cómo pueden usarlo.

Con la nuble, puede comenzar a utilizar recursos rápidamente a medida que los necesite e implementar miles de servidores en cuestión de minutos. Por lo tanto, se vuelve muy importante el ser capaz de mirar a través de las políticas de recursos e identificar recursos con acceso público o entre cuentas que no habría pensado. El analizador de acceso IAM genera descubrimientos completos que identifican recursos que pueden accederse desde fuera de la cuenta AWS. El analizador de acceso IAM hace esto cuando evalúa las políticas de recursos con la lógica matemática y la inferencia para determinar las posibles rutas de acceso permitidas por las políticas. El analizador de acceso de IAM supervisa continuamente las políticas nuevas o actualizadas, y analiza los permisos otorgados mediante políticas para sus buckets de Amazon S3, claves de AWS KMS, colas de Amazon SQS, roles de AWS IAM y funciones de AWS Lambda.

Como práctica recomendada de seguridad, también es importante ver cómo los permisos se usan a lo largo del tiempo para que pueda eliminar permisos innecesarios, de acuerdo con el principio del menor privilegio. IAM ofrece datos de “último acceso”, que es una marca temporal en donde una política o entidad de IAM, tal como un usuario o rol, usó un servicio o acción de los servicios admitidos por última vez. Esto permite que identifique fácilmente permisos sin usar y mejore su postura de seguridad al eliminar los permisos que no son necesarios para el usuario, grupo o función para realizar una tarea específica. Desde las cuentas maestras de AWS Organizations, puede observar la última vez en que se accedió a un servicio a través de la raíz de la organización, las unidades organizacionales (OU) y las cuentas. Para obtener más información sobre cómo usar los datos de “último acceso” para tomar decisiones sobre los permisos concedidos a sus entidades de IAM u Organizations, vea Ejemplo de escenarios para usar el servicio de datos accedidos por última vez.

Beneficios

Ahorre tiempo con el análisis de políticas de recursos para accesibilidad publica o entre cuentas

En comparación con las técnicas de heurística o coincidencia de patrones que pueden llevar días o semanas, el analizador de acceso de IAM utiliza lógica matemática e inferencia para reducir drásticamente el tiempo necesario para generar resultados completos sobre los recursos a los que se puede acceder desde fuera de una cuenta de AWS. El analizador de acceso IAM evalúa los permisos otorgados mediante políticas para sus buckets de Amazon S3, claves de AWS KMS, colas de Amazon SQS, roles de AWS IAM y funciones de AWS Lambda. El analizador de acceso de IAM entrega resultados detallados a través de AWS IAM, Amazon S3 y consolas de AWS Security Hub y, también, a través de sus API.

Monitorea de forma continua y lo ayuda a refinar los permisos

El analizador de acceso de IAM monitorea de forma continua y analiza cualquier política de recurso nueva o actualizada para ayudarlo a entender las potenciales implicaciones de seguridad. Por ejemplo, cuando las políticas de bucket de Amazon S3 cambian, IAM lo alertará de que los usuarios podrán acceder al bucket desde fuera de la cuenta.

IAM también ofrece datos de marca temporal de “último acceso” sobre la última vez que una política o entidad de IAM utilizó el servicio, para que pueda identificar y eliminar fácilmente los permisos sin utilizar para mejorar su postura de seguridad y conceder solo los permisos requeridos para realizar una tarea específica.

Ofrece la garantía de niveles de seguridad más alta

El analizador de acceso de IAM usa razonamiento automatizado, una forma de lógica matemática e inferencia, para determinar todos los posibles caminos de acceso permitido por una política de recurso. Llamamos a estos resultados analíticos seguridad probable, una garantía de nivel superior para la seguridad de la nube y en la nube.

Mientras que algunas herramientas permiten probar escenarios de acceso particulares, el analizador de acceso de IAM es capaz de usar las matemáticas para analizar todas las posibles solicitudes de acceso, esto aumenta su confianza en que sus políticas solo permiten el acceso que desea.

Funcionamiento

Funcionamiento del analizador de acceso de IAM

Razonamiento automatizado para análisis de políticas

El razonamiento automatizado es una área de la ciencia cognitiva que automatiza diferentes aspectos del razonamiento relacionado con la lógica matemática y formal. El grupo de razonamiento automatizado de AWS diseña algoritmos y construye códigos que pueden razonar sobre los recursos, las configuraciones y la infraestructura de la nube para proporcionar garantías sobre los aspectos de sus comportamientos rápidamente. En el caso de las políticas de recursos, AWS los transforma en fórmulas de lógica precisa, y luego usa los razonadores automatizados para resumir completamente cuales son los recursos que conceden acceso público o entre cuentas. Obtenga más información sobre cómo las herramientas de razonamiento automatizado y los métodos dentro de Amazon Web Services proporcionan una garantía de seguridad de mayor nivel para la nube al leer “Razonamiento formal sobre AWS ”.

Obtenga más información sobre las características de AWS IAM

Visite la página de características
¿Listo para crear?
Introducción a AWS IAM
¿Tiene más preguntas?
Contacte con nosotros