IAM Access Analyzer es una funcionalidad avanzada proporcionada por AWS Identity and Access Management (IAM) que permite a los administradores de seguridad y cumplimiento identificar de manera proactiva los recursos de AWS que están accesibles desde fuera de una cuenta o una organización de AWS. Esta herramienta analiza las políticas de acceso asociadas a los recursos para detectar configuraciones que permiten accesos externos, ya sea públicos, a otras cuentas, a organizaciones de AWS o a identidades federadas.
Funcionamiento y propósito
IAM Access Analyzer utiliza un enfoque basado en lógica formal y análisis estático para razonar sobre el comportamiento de las políticas de acceso. A través de este razonamiento, determina si la configuración actual de las políticas permite que usuarios, roles, servicios o entidades fuera del perímetro de seguridad definido puedan acceder a los recursos.
Cuando detecta un acceso externo permitido por una política, genera un hallazgo (finding) que detalla:
- El recurso afectado (por ejemplo, un bucket de S3 o una clave de KMS).
- La entidad externa que tiene acceso (por ejemplo, una cuenta de AWS diferente).
- Las acciones que esa entidad puede realizar.
- El tipo de acceso (lectura, escritura, etc.).
- El origen del acceso (por ejemplo, una política de bucket o una política de rol).
Tipos de analizadores
IAM Access Analyzer permite crear dos tipos de analizadores:
1. Analizador de cuenta (Account Analyzer)
- Analiza los recursos dentro de una cuenta individual de AWS.
- Detecta accesos externos en tiempo real, observando las políticas a medida que se crean o modifican.
- Es útil para mantener un control continuo sobre la exposición involuntaria de recursos.
2. Analizador de organización (Organization Analyzer)
- Funciona a nivel de AWS Organizations, permitiendo revisar recursos y políticas en todas las cuentas miembro.
- Facilita el monitoreo y cumplimiento centralizado en entornos multi-cuenta.
- Requiere permisos específicos de la organización para operar.
Tipos de hallazgos
Los hallazgos generados por Access Analyzer se pueden clasificar en función del tipo de acceso externo detectado:
- Acceso público (por ejemplo,
Principal: "*"en una política de bucket S3). - Acceso por otras cuentas de AWS (por ejemplo, una política que permite a otra cuenta asumir un rol o usar una clave KMS).
- Acceso a través de organizaciones (por ejemplo, acceso permitido a cuentas dentro de una organización específica).
- Acceso federado (por ejemplo, acceso desde identidades autenticadas con un proveedor de identidad externo).
Compatibilidad con servicios de AWS
Access Analyzer puede analizar políticas asociadas a múltiples tipos de recursos, incluyendo:
- Buckets de Amazon S3
- Roles de IAM
- Claves de AWS KMS
- Colas de Amazon SQS
- Secretos de AWS Secrets Manager
- Funciones de AWS Lambda
- Repositorios de Amazon ECR
Validación de políticas
Además del análisis de acceso externo, IAM Access Analyzer incluye una herramienta para validar políticas de IAM, que ayuda a los usuarios a:
- Verificar que las políticas estén correctamente formateadas.
- Detectar errores sintácticos o semánticos.
- Recibir recomendaciones sobre cómo mejorar la seguridad de las políticas (por ejemplo, restringir permisos demasiado amplios).
Esta funcionalidad es particularmente útil al desarrollar nuevas políticas, ya que permite asegurarse de que la política final cumple con los objetivos de seguridad antes de aplicarla en producción.
Casos de uso comunes
- Auditoría de seguridad: Detectar recursos que están accidentalmente expuestos al público o a otras cuentas.
- Cumplimiento regulatorio: Probar que los recursos no están accesibles desde fuera de la organización.
- Prevención de errores de configuración: Revisar políticas nuevas o modificadas antes de aplicarlas.
- Respuesta ante incidentes: Identificar rápidamente qué recursos han quedado expuestos por una política mal configurada.
Configuración y administración
IAM Access Analyzer se puede gestionar de varias formas:
- Consola de AWS: A través de IAM o mediante el servicio Access Analyzer.
- AWS CLI y SDKs: Con comandos como
create-analyzer,list-findings,validate-policy, etc. - AWS CloudFormation o Terraform: Para integrar su configuración en flujos de infraestructura como código (IaC).
IAM Access Analyzer en una arquitectura multi-cuenta con Control Tower, Organizations y Entra ID
En una infraestructura moderna de AWS donde se adoptan prácticas de gobernanza multi-cuenta, IAM Access Analyzer desempeña un papel esencial dentro del modelo de seguridad y cumplimiento proactivo.
Contexto de arquitectura
Esta arquitectura se caracteriza por:
- 📦 Uso de AWS Control Tower para estandarizar y automatizar la creación y gestión de cuentas, alineadas a políticas de gobernanza.
- 🏢 Administración centralizada mediante AWS Organizations, lo que permite estructurar jerárquicamente las cuentas (por ejemplo, por entorno: producción, desarrollo, pruebas) y aplicar políticas SCP (Service Control Policies).
- 🔐 Federación de identidades corporativas a través de Microsoft Entra ID (Azure Active Directory), que permite que los usuarios empresariales accedan a recursos de AWS con sus credenciales corporativas mediante roles de IAM federados (con SAML 2.0).
Enfoque de IAM Access Analyzer en este entorno
En este contexto, IAM Access Analyzer proporciona una visibilidad centralizada y automatizada del acceso externo a los recursos, considerando tanto:
- Accesos provenientes desde otras cuentas dentro o fuera de la organización, como:
- Cuentas hijas en AWS Organizations.
- Cuentas externas (por ejemplo, proveedores externos o terceros).
- Accesos públicos accidentales o indeseados.
- Accesos a través de identidades federadas autenticadas por Entra ID, que asumen roles IAM mediante SAML.
Componentes clave del enfoque
- Analizador de organización (Organization Analyzer)
- Se despliega típicamente desde la cuenta de administración (root) de AWS Organizations, o desde una cuenta de seguridad designada (como la OU de seguridad en Control Tower).
- Permite evaluar políticas en todas las cuentas miembro sin necesidad de configurar analizadores individuales en cada una.
- Es ideal para detectar exposición cruzada o accidental entre cuentas del entorno multi-cuenta.
- Integración con identidad federada (Entra ID)
- IAM Access Analyzer identifica y evalúa políticas que permiten el acceso a roles que pueden ser asumidos mediante federación (por ejemplo,
Principal: "arn:aws:iam::account-id:saml-provider/entra-id"). - Esto permite detectar si alguna configuración podría permitir que cualquier usuario autenticado desde Entra ID obtenga permisos excesivos, o si los roles federados son demasiado permisivos.
- IAM Access Analyzer identifica y evalúa políticas que permiten el acceso a roles que pueden ser asumidos mediante federación (por ejemplo,
- Soporte para validación de políticas
- En ambientes con múltiples cuentas y equipos, es común que se creen políticas IAM descentralizadas. Access Analyzer proporciona una validación automatizada para asegurar que estas políticas cumplen con los principios de privilegios mínimos, y alerta si están configuradas para permitir accesos más amplios de lo necesario.
- Automatización y remediación
- Mediante la integración con AWS Config, EventBridge y Lambda, se pueden automatizar flujos que respondan a hallazgos generados por Access Analyzer.
- Por ejemplo, si un bucket S3 es expuesto públicamente por error, se puede disparar una función Lambda que modifique la política del bucket automáticamente.
Beneficios en este modelo
- ✅ Visibilidad centralizada de accesos externos en toda la organización.
- ✅ Mitigación de riesgos de seguridad al identificar accesos innecesarios o no autorizados desde otras cuentas o identidades federadas.
- ✅ Auditoría y cumplimiento alineados con marcos normativos (ISO, SOC 2, CIS, etc.).
- ✅ Complemento perfecto para Control Tower, reforzando las barreras de seguridad ya aplicadas por SCPs, guardrails y configuración estándar.
🔍 ¿Dónde se ve el panel de IAM Access Analyzer en un entorno centralizado?
✅ Opción recomendada: usar un analizador de organización (Organization Analyzer)
En arquitecturas centralizadas, como las que se despliegan con AWS Control Tower, lo ideal es habilitar IAM Access Analyzer en la cuenta de seguridad central (por ejemplo, la cuenta de Audit o Security que crea Control Tower por defecto) o incluso en la cuenta de administración principal (root de AWS Organizations).
Esto permite ver todos los hallazgos de todas las cuentas miembro desde un único panel centralizado.
📍Ubicación:
- Consola de AWS → Cuenta de seguridad central (Audit o Security).
- Ir a:
IAM→Access Analyzer→ Verás el analizador de organización y todos los hallazgos globales.
⚙️ ¿Qué se necesita para usar el analizador de organización?
- Se debe crear el analizador con
type: ORGANIZATION. - Debes tener permisos en la cuenta de administración o seguridad para acceder a todas las cuentas miembro (requiere el rol
AccessAnalyzerServiceRole). - Solo una cuenta por región puede tener un analizador de organización activo.
🚫 Si no se usa el analizador de organización…
Si no se ha creado un analizador de tipo ORGANIZATION, entonces cada cuenta individual debe tener su propio analizador configurado (tipo ACCOUNT). En ese caso:
- Se debe entrar cuenta por cuenta para revisar los hallazgos.
- Esto fragmenta la visibilidad y complica la gestión centralizada de seguridad.
🧭 Recomendación operativa
| Recurso | Acción recomendada |
|---|---|
| 🛡 Cuenta de seguridad (Audit) | Crear y administrar el analizador de tipo ORGANIZATION. |
| 🏢 Cuentas miembro | No es necesario crear analizadores individuales si el organizacional está activo. |
| 📋 Consola IAM Access Analyzer | Se accede desde la cuenta de seguridad para visualizar todos los hallazgos. |
| 🔄 Automatización | Opcionalmente se pueden enviar hallazgos a un bucket central o a EventBridge para acciones automatizadas. |
💰 Modelo de precios de IAM Access Analyzer (a abril de 2025)
1. ✅ Análisis de acceso externo (Access Analyzer – Findings)
Esta es la funcionalidad que detecta accesos externos a tus recursos AWS (hallazgos).
- Precio: GRATUITO
- Incluye:
- Creación de analizadores (de cuenta o de organización).
- Detección de hallazgos en tiempo real.
- Visualización y gestión de findings desde la consola, CLI o API.
- Uso tanto en cuentas individuales como en modo organización.
🟢 No tiene ningún costo adicional, independientemente del número de analizadores o hallazgos generados.
2. 🧪 Validación de políticas (Policy Validation)
Esta funcionalidad permite verificar políticas IAM (antes de aplicarlas o durante auditorías) para comprobar si están bien escritas, seguras o si podrían causar problemas.
- Precio: GRATUITO para las primeras 1000 validaciones por cuenta por mes.
- Luego:
- $0.0015 por cada validación adicional por mes.
- El contador se reinicia mensualmente.
📌 Una “validación” se refiere a una llamada a la API
ValidatePolicy, ya sea desde la consola, AWS CLI o SDK.
📦 ¿Está incluido en AWS Free Tier?
Sí, ambas funcionalidades están incluidas en el nivel gratuito (Free Tier) para cualquier cuenta de AWS, tanto nueva como existente.
🧮 Ejemplo práctico de coste (validaciones)
Si una cuenta ejecuta:
- 950 validaciones en un mes → $0
- 1,500 validaciones en un mes → 500 x $0.0015 = $0.75 USD
✅ Resumen
| Función | Costo mensual | Notas |
|---|---|---|
| Access Analyzer (hallazgos) | $0.00 | Siempre gratuito |
| Validación de políticas | Primeras 1000 gratis, luego $0.0015 por validación | Solo se cobra en grandes volúmenes |