Análisis de accesos externos con AWS Access Analyzer

Clase 8 de 76Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Resumen

La seguridad en AWS es esencial, especialmente cuando compartimos recursos con cuentas externas o gestionamos múltiples usuarios. AWS Access Analyzer es una herramienta vital que permite revisar políticas, identificar accesos externos o recursos no utilizados y aplicar el principio de menor privilegio. Te explicamos cómo usarla de manera sencilla y directa.

¿Qué es AWS Access Analyzer y cómo ayuda a proteger mis recursos?

AWS Access Analyzer es una herramienta disponible dentro del servicio IAM (Identity and Access Management). Su principal función es verificar y mejorar las políticas de acceso, detectando recursos expuestos de manera insegura o no utilizados. Con ella, mantendrás control sobre:

  • Accesos desde cuentas externas (cross account access).
  • Recursos otorgados a otras cuentas.
  • Roles y credenciales que podrían ser riesgosas si no se gestionan apropiadamente.

¿Cómo crear y revisar los hallazgos en AWS Access Analyzer?

Al ingresar desde la consola de IAM:

  1. Selecciona "Access Reports" (reportes de acceso) en el menú lateral.
  2. Haz clic en "Access Analyzer" y visualiza el dashboard inicial.
  3. Crea un nuevo analyzer o revisa los hallazgos (findings) existentes.

Existen dos tipos principales de hallazgos: - Acceso externo: detecta recursos compartidos con otras cuentas. - Acceso no utilizado: identifica usuarios, roles o credenciales que no han tenido actividad, facilitando la reducción de permisos excesivos.

ejemplo práctico: - El analyzer mostrará el "finding" con identificadores específicos. - Podrás verificar quién es el propietario del recurso y a qué cuenta se está compartiendo. - Al seleccionar un recurso, podrás acceder directamente al rol correspondiente en el servicio IAM.

¿Qué información proporciona el reporte de credenciales?

El reporte de credenciales aporta datos clave sobre usuarios y uso de contraseñas. Incluye: - Fecha de creación de usuarios. - Estado de contraseñas. - Última utilización del usuario.

Esta información permite un mayor control sobre la actividad de usuarios y facilita la toma de decisiones para ajustarse al principio de privilegio mínimo y optimizar la gestión de accesos en AWS.

Con estas herramientas tendrás claridad y control detallado del acceso otorgado desde tu cuenta AWS, esencial en momentos de crecimiento y expansión del recurso tales como adquisiciones empresariales.