IAM Roles: Revisión de Mínimo Privilegio

Revisión de políticas de IAM

Se recomienda la revisión periódica de los roles de IAM para garantizar que otorguen los privilegios mínimos necesarios para la función a realizar (least privilege)
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/best-practices.html#grant-least-privilege

Revisión de accesos no intencionados

En particular, revisar los asteriscos en las políticas: … “Action”: “service-prefix”: “*” … o … “Resource”: “*” …

Frecuentemente cuando se otorgan estos permisos tan amplios es por falta de dedicación/esfuerzo en la construcción de una política de IAM más especifica.

IAM Access Advisor

Utilice el IAM Access Advisor para identificar accesos no utilizados: IAM Access Advisor

IAM Access Analyzer - Generación de políticas

El IAM Access Analyzer cuenta con una capacidad de generación de políticas de IAM a partir de las acciones realizadas (basándose en AWS CloudTrail). Use esta funcionalidad para refinar políticas con permisos excesivos, no utilizados en un período de tiempo significativo (que dependerá de su caso de uso).
https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html

Ejemplos de políticas de acceso:

https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access_policies_examples.html

Well Architected Framework - Recomendación relacionada