Se recomienda la revisión periódica de los roles de IAM para garantizar que otorguen los privilegios mínimos necesarios para la función a realizar (least privilege)
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/best-practices.html#grant-least-privilege
En particular, revisar los asteriscos en las políticas: … “Action”: “service-prefix”: “*” … o … “Resource”: “*” …
Frecuentemente cuando se otorgan estos permisos tan amplios es por falta de dedicación/esfuerzo en la construcción de una política de IAM más especifica.
Utilice el IAM Access Advisor para identificar accesos no utilizados:
El IAM Access Analyzer cuenta con una capacidad de generación de políticas de IAM a partir de las acciones realizadas (basándose en AWS CloudTrail). Use esta funcionalidad para refinar políticas con permisos excesivos, no utilizados en un período de tiempo significativo (que dependerá de su caso de uso).
https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access_policies_examples.html