¡Reduzca la exposición de IAM con AWS Access Advisor!
Access Advisor – Los valores predeterminados pueden ser laxos y la comprensión de las nuevas tecnologías viene por etapas. Con esto, se pueden crear o usar algunas funciones/políticas abiertas dentro de IAM.
Si bien esto puede estar bien para las pruebas iniciales, no debería ser el caso para la producción.
Las políticas y roles de IAM pueden complicarse y ciertas soluciones personalizadas son difíciles de asegurar cuando no participó en el desarrollo.
Lo que tocan y usan siempre se puede descubrir utilizando el firewall, la red, la aplicación y los registros de seguimiento, sin embargo, esto puede ser un error.
Aquí es donde entra en juego Access Advisor. Si está ejecutando AWS, puede usar este servicio para reducir el acceso dentro de sus políticas sin tener que adivinar.
Access Advisor usa la actividad del usuario, grupo o roles y proporciona información sobre qué permisos están usando realmente. En lugar de solo mostrarte lo que es, también te mostrará lo que no es.
Esto puede ayudar a dar un poco más de confianza al eliminar el acceso.
Con esta información, puede comprender mejor cómo el objeto utiliza la política. Aunque Access Analyzer tiene su propio panel, según mi experiencia, es mejor apuntar a aquellos que cree que necesitan trabajar y profundizar allí.
Por ejemplo, vaya a un rol y haga clic en la pestaña Asesor de acceso. Luego puede comenzar a editar la actual o crear una nueva política basada en los hallazgos.
Si bien es posible que desee comenzar a alejarse por etapas (destinación de recursos o acciones), tiene la opción de profundizar en algunas.
Por ejemplo, este soy yo profundizando en las acciones de S3:
Aquí puedo ver un montón de Acciones que no necesita, por lo tanto, puedo filtrar lo que hace y editar la política (eliminando * o las acciones enumeradas anteriormente).
Si está buscando editar esas políticas, podría valer la pena usar esta referencia: AWS Doc…
Hay muchas acciones en las hojas de referencia para ayudar a los administradores a comprender qué es qué.
Gracias por llegar hasta aquí, si encuentras esto útil no olvides aplaudir 👍🏼suscribirse para recibir más contenido.
Si le interesa, puede echar un vistazo a algunos de los otros artículos que he escrito recientemente sobre AWS y Laravel: