Limpie accesos externos no utilizados o no deseados mediante IAM Access Analyzer

NOTA: La versión en Inglés cuenta con algunas actualizaciones que aún no se reflejaron en la versión en español.

Detección de recursos compartidos fuera de su cuenta u organización con IAM Access Analyzer

(funcionalidad gratuita)
Los analizadores de accesos externos de IAM Access Analyzer detectan recursos con políticas de IAM que permiten accesos externos, tales como Buckets de S3, Colas de SQS, Roles que pueden ser asumidos desde fuera de su organización o funciones Lambda que pueden ser ejecutadas desde fuera. De este modo identifica riesgos aún si no fue utilizado externamente dicho acceso por el momento.

Detección de accesos no utilizados con IAM Access Analyzer

(funcionalidad con costo)
Los analizadores de accesos no utilizados de IAM Access Analyzer detectan recursos no utilizados tales como usuarios de IAM (tanto contraseñas como access keys), y permisos no utilizados en roles o usuarios.

Se recomienda hacer una revisión sobre todos los roles, para asegurarse que solo se otorguen los privilegios mínimos necesarios, para limitar el campo de acción en caso de compromiso (blast radius), y el IAM Access Analyzer ayuda con la tarea.

Well Architected Framework - Recomendación relacionada

Alternativa a IAM Access Analyzer, soluciones de gestión de derechos de infraestructura en la nube (CIEM)

Existen múltiples soluciones de nuestros socios que ayudan con la tarea de limpiar el acceso no utilizado y no deseado; estas soluciones se denominan gestión de derechos de infraestructura en la nube (CIEM), como Sonrai, Ermetic (tenable), Palo Alto Prisma, Wiz, etc. Estas capacidades están integradas en algunos casos en las plataformas de la plataforma de protección de aplicaciones nativas de la nube (CNAPP).

Mitigación de riesgos

El analizador de acceso de IAM puede ayudarlo a identificar estos riesgos

Guía para evaluar su grado de alineación

  • ¿Ha definido un analizador de acceso externo para su organización?
  • ¿Ha utilizado IAM Access Analyzer para identificar permisos no utilizados, usuarios de IAM y claves de acceso?
  • ¿Alguien de su organización está trabajando para investigar y remediar los hallazgos?
  • ¿Está utilizando alguna solución de administración de derechos de infraestructura en la nube (CIEM)? ¿Cuáles son las capacidades implementadas?

Precios

https://aws.amazon.com/iam/access-analyzer/pricing

El analisis de accesos externos no tiene costo.