¿Sabrías identificar si un recurso de tus cuentas AWS está expuesto de forma insegura, como un bucket de S3 de tu banco? Para responder a esa pregunta existe AWS IAM Access Analyzer, la herramienta que te ayuda a definir, verificar y afinar tus políticas de IAM aplicando el principio de privilegio mínimo.

¿Qué es AWS IAM Access Analyzer y dónde se encuentra?

Access Analyzer vive dentro del servicio IAM, en el menú lateral bajo Access reports. Al entrar verás un panel inicial con el funcionamiento, beneficios y secciones de precios.

¿Qué hace IAM Access Analyzer? Detecta recursos de tu cuenta AWS compartidos con entidades externas y permisos que no estás utilizando, para que ajustes tus políticas con privilegio mínimo.

Lo primero que harás dentro de la consola es crear un analizador, cuyos hallazgos se llaman findings. Existen dos tipos de análisis disponibles, cada uno con un objetivo distinto.

¿Qué tipos de analizadores puedes crear?

Los dos tipos de detección que ofrece la herramienta son:

• Accesos externos: identifican recursos de tu cuenta que están siendo compartidos con cuentas distintas a la tuya.
• Accesos no utilizados: detectan roles, usuarios, claves y contraseñas que no se han usado, ideales para eliminar permisos innecesarios.

El análisis de accesos no utilizados conlleva costos adicionales, así que conviene revisar la sección de precios de AWS antes de habilitarlo.

¿Cómo se ve un finding de acceso externo en la consola?

Al crear un analizador de accesos externos en una región, por ejemplo Virginia, la herramienta empieza a generar detecciones de cross account access. Cada hallazgo aparece con un identificador único en el panel.

Al hacer clic en el identificador, la consola te muestra información detallada y accionable:

• El recurso afectado, por ejemplo un IAM role específico.
• La cuenta externa con la que se está compartiendo.
• El propietario del recurso, es decir, tu cuenta actual.
• Un enlace directo que abre el rol en la consola IAM para revisarlo.

Así confirmas con quién estás compartiendo qué, y decides si ese acceso debe mantenerse o revocarse.

¿Qué es un finding en Access Analyzer? Es una detección automática que señala un recurso compartido con una entidad externa o un permiso sin uso, junto con su identificador, recurso y cuenta involucrada.

¿Para qué sirve el Credential Report en IAM?

Dentro de la misma sección de reportes de acceso encontrarás el Credential Report, un archivo descargable que lista todos los usuarios de tu cuenta y sus credenciales. Es el complemento perfecto para auditar quién tiene acceso y desde cuándo.

Al descargarlo, por ejemplo después de haber creado un usuario administrador y un usuario intern, el reporte te entrega información clave para tomar decisiones:

• Fecha de creación de cada usuario.
• Si la contraseña está activa.
• La última vez que el usuario se utilizó.
• Estado de las claves de acceso asociadas.

Esa foto es la que necesitas para limpiar usuarios inactivos y reforzar el principio de privilegio mínimo en cuentas que crecen rápido.

¿Qué información trae un Credential Report de AWS? Lista usuarios IAM con su fecha de creación, estado de contraseña, último uso y claves de acceso, en un archivo descargable desde la consola.

¿Por qué importa esto cuando tu organización escala?

Cuando un banco crece exponencialmente, comparte recursos con otras cuentas y crea múltiples usuarios, perder visibilidad es cuestión de tiempo. Mantener registro de qué se comparte y quién está activo deja de ser opcional.

Imagina que tu banco acaba de adquirir una empresa con más de 200 cuentas AWS. Sin Access Analyzer y sin Credential Report, auditar accesos externos y permisos sin uso en ese volumen sería prácticamente inviable.

Por eso conviene dominar estas herramientas antes del salto de escala: te permiten aplicar privilegio mínimo de forma sistemática y detectar exposiciones inseguras antes de que se conviertan en incidentes. ¿Ya identificaste cuáles de tus recursos están compartidos con cuentas externas? Cuéntame en los comentarios qué hallazgo te sorprendió más.