NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.
(funcionalidad gratuita)
Los analizadores de accesos externos de IAM Access Analyzer detectan recursos con políticas de IAM que permiten accesos externos, tales como Buckets de S3, Colas de SQS, Roles que pueden ser asumidos desde fuera de su organización o funciones Lambda que pueden ser ejecutadas desde fuera. De este modo identifica riesgos aún si no fue utilizado externamente dicho acceso por el momento.
(funcionalidad con costo)
Los analizadores de accesos no utilizados de IAM Access Analyzer detectan recursos no utilizados tales como usuarios de IAM (tanto contraseñas como access keys), y permisos no utilizados en roles o usuarios.
Se recomienda hacer una revisión sobre todos los roles, para asegurarse que solo se otorguen los privilegios mínimos necesarios, para limitar el campo de acción en caso de compromiso (blast radius), y el IAM Access Analyzer ayuda con la tarea.
Existen múltiples soluciones de nuestros socios que ayudan con la tarea de limpiar el acceso no utilizado y no deseado; estas soluciones se denominan gestión de derechos de infraestructura en la nube (CIEM), como Sonrai, Ermetic (tenable), Palo Alto Prisma, Wiz, etc. Estas capacidades están integradas en algunos casos en las plataformas de la plataforma de protección de aplicaciones nativas de la nube (CNAPP).
El analizador de acceso de IAM puede ayudarlo a identificar estos riesgos
https://aws.amazon.com/iam/access-analyzer/pricing
El analisis de accesos externos no tiene costo.