IAM Roles: Revisión de Mínimo Privilegio
Revisión de políticas de IAM
Se recomienda la revisión periódica de los roles de IAM para garantizar que otorguen los privilegios mínimos necesarios para la función a realizar (least privilege)
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/best-practices.html#grant-least-privilege
Revisión de accesos no intencionados
En particular, revisar los asteriscos en las políticas: … “Action”: “service-prefix”: “*” … o … “Resource”: “*” …
Frecuentemente cuando se otorgan estos permisos tan amplios es por falta de dedicación/esfuerzo en la construcción de una política de IAM más especifica.
IAM Access Advisor
Utilice el IAM Access Advisor
para identificar accesos no utilizados:
IAM Access Analyzer - Generación de políticas
El IAM Access Analyzer cuenta con una capacidad de generación de políticas de IAM a partir de las acciones realizadas (basándose en AWS CloudTrail). Use esta funcionalidad para refinar políticas con permisos excesivos, no utilizados en un período de tiempo significativo (que dependerá de su caso de uso).
https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html
Ejemplos de políticas de acceso:
https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/access_policies_examples.html
Well Architected Framework - Recomendación relacionada
- SEC03-BP04 Reduce permissions continuously