Resultados de IAM Access Analyzer
El Analizador de acceso de IAM genera resultados sobre el acceso externo, interno y no utilizado en la Cuenta de AWS u organización.
Para acceso externo, el Analizador de acceso de IAM genera un resultado para cada instancia de una política basada en recursos que concede a un recurso dentro de su zona de confianza a una entidad principal que no está dentro de su zona de confianza. Cuando crea un analizador de acceso externo, elige una organización o Cuenta de AWS para analizar. Cualquier entidad principal de la organización o cuenta que elija para el analizador se considera de confianza. Dado que las entidades principales de la misma organización o cuenta son de confianza, los recursos y las entidades principales de la organización o cuenta comprenden la zona de confianza del analizador. Cualquier uso compartido que esté dentro de la zona de confianza se considera seguro, por lo que el Analizador de acceso de IAM no genera un resultado. Por ejemplo, si selecciona una organización como zona de confianza para un analizador, todos los recursos y entidades principales de la organización se encuentran dentro de la zona de confianza. Si concede permisos a bucket de Amazon S3 en una de las cuentas de miembro de la organización a una entidad principal en otra cuenta de miembro de la organización, el Analizador de acceso de IAM no genera un resultado. Pero si concede permiso a una entidad principal de una cuenta que no es miembro de la organización, el Analizador de acceso de IAM genera un resultado.
Para el acceso interno, el Analizador de acceso de IAM genera resultados cuando existe una posible ruta de acceso entre un rol o usuario de IAM dentro de su organización y sus recursos específicos. Al igual que en el análisis del acceso externo, el ámbito que seleccione (organización o cuenta) determina lo que se considera interno. Si selecciona una organización como ámbito, el Analizador de acceso de IAM generará resultados sobre las rutas de acceso entre las entidades principales y los recursos de su organización. Si selecciona una cuenta, se generarán resultados de las rutas de acceso dentro de esa cuenta específica. El Analizador de acceso de IAM utiliza un razonamiento automatizado para evaluar todas las políticas de IAM y monitorizar quién tiene acceso a sus recursos.
La combinación de los resultados de acceso externo e interno con la misma zona de confianza proporciona un análisis exhaustivo de todos los posibles accesos a un recurso concreto, tanto dentro como fuera del límite de confianza definido.
Para el acceso no utilizado, el Analizador de acceso de IAM genera resultados sobre el acceso concedido no utilizado en su organización y cuentas de AWS. Cuando crea un analizador de acceso no utilizado, el Analizador de acceso de IAM supervisa continuamente todos los usuarios y roles de IAM en AWS de la organización y las cuentas, y genera resultados sobre el acceso no utilizado. El Analizador de acceso de IAM genera los siguientes tipos de resultados para el acceso no utilizado:
-
Roles no utilizados: roles sin actividad de acceso dentro del período de uso especificado.
-
Claves de acceso y contraseñas no utilizadas de usuarios de IAM: credenciales que pertenecen a usuarios de IAM que no se han utilizado para acceder a la Cuenta de AWS en el periodo de uso especificado.
-
Permisos no utilizados: permisos de nivel de servicio y de nivel de acción que un rol no utilizó dentro del período de uso especificado. El Analizador de acceso de IAM utiliza políticas basadas en la identidad asociadas a los roles para determinar los servicios y las acciones a los que pueden acceder esos roles. El Analizador de acceso de IAM permite revisar los permisos no utilizados para todos los permisos de nivel de servicio. Para obtener una lista completa de los permisos de nivel de acción que se admiten para resultados de acceso no utilizado, consulte Servicios y acciones de la información sobre los últimos accesos a la acción de IAM.
nota
El Analizador de acceso de IAM genera resultados sobre el acceso externo gratis. Hay cargos por los resultados de acceso no utilizado en función del número de roles y usuarios de IAM analizados por analizador por mes. También hay cargos por los resultados de acceso interno en función del número de recursos de AWS monitorizados por analizador por mes. Para obtener más información sobre los precios, consulte los precios del Analizador de acceso de IAM
Temas
Comprender cómo funcionan los resultados del Analizador de acceso de IAM
Introducción a AWS Identity and Access Management Access Analyzer
Tipos de recursos del Analizador de acceso de IAM admitidos para acceso externo e interno
Supervisión de AWS Identity and Access Management Access Analyzer con Amazon EventBridge
Registro de llamadas a la API de IAM Access Analyzer con AWS CloudTrail
Cómo utilizar roles vinculados a servicios de AWS Identity and Access Management Access Analyzer