Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Descripción de los hallazgos de acceso no utilizados en Security Hub
Security Hub utiliza IAM Access Analyzer para identificar los permisos, funciones, claves de acceso y contraseñas de IAM no utilizados en su cuenta. Estos hallazgos le ayudan a implementar la mejor práctica de seguridad del acceso con privilegios mínimos, ya que destacan los principios y permisos de IAM que no se utilizan activamente. Esta capacidad se proporciona a todos los clientes de Security Hub sin coste adicional.
## Cómo funciona el análisis de acceso no utilizado
Al activar Security Hub, el servicio crea automáticamente un IAM Access Analyzer vinculado al servicio en su cuenta. Este analizador evalúa todos los principios de IAM (funciones y usuarios) comparándolos con los datos de AWS CloudTrail actividad para determinar qué principios y permisos no se han utilizado en un período retrospectivo de 90 días. El período retrospectivo no se puede configurar.
IAM Access Analyzer vuelve a evaluar todos los hallazgos activos cada 24 horas. Cuando se activa un principal o un permiso no utilizado anteriormente, el hallazgo correspondiente se resuelve automáticamente.
El analizador de acceso no utilizado se ejecuta en EE. UU. Este (Virginia del Norte) porque IAM es un servicio global. Security Hub reproduce los resultados en todas las regiones en las que ha activado Security Hub. No es necesario activar Security Hub en EE. UU. Este (Norte de Virginia) para que se ejecute el analizador.
## Tipos de búsqueda de acceso no utilizados
Security Hub genera cuatro tipos de hallazgos de acceso no utilizados:
| Tipo de resultado | Description (Descripción) | Recurso evaluado |
| --- | --- | --- |
| Rol de IAM no utilizado | Una función de IAM que no se ha asumido en el período retrospectivo de 90 días. | rol de IAM |
| UnusedIAMUserAccessKey | Una clave de acceso de usuario de IAM que no se ha utilizado para firmar las solicitudes de API durante el período retrospectivo de 90 días. | Usuario de IAM |
| UnusedIAMUserPassword | Una contraseña de usuario de IAM que no se haya utilizado para iniciar sesión en la consola durante el período retrospectivo de 90 días. | Usuario de IAM |
| UnusedPermission | Acciones de IAM específicas que se otorgan a un rol o usuario, pero que no se han invocado durante el período retrospectivo de 90 días. | Rol de IAM o usuario de IAM |
## Service-linked analizador
El analizador de acceso de IAM que crea Security Hub es un analizador vinculado a servicios. Puede verlo en la consola de IAM Access Analyzer, pero no puede modificarlo ni eliminarlo mientras Security Hub esté activado.
Al deshabilitar Security Hub en todas las regiones, el analizador vinculado al servicio se elimina automáticamente. Si se produce un error en la eliminación automática, puede eliminar el analizador mediante una llamada a la operación de la API de IAM Access Analyzer. `DeleteServiceLinkedAnalyzer` Esta operación solo se realiza correctamente después de que Security Hub esté completamente desactivado para su cuenta.
El analizador vinculado a servicios es independiente de cualquier analizador gestionado por el cliente que haya creado de forma independiente en IAM Access Analyzer. La creación o eliminación de analizadores gestionados por el cliente no afecta al analizador vinculado al servicio y viceversa.
## Visualización de los resultados de acceso no utilizados
Los hallazgos de acceso no utilizados aparecen en la consola del Security Hub junto con otros hallazgos del Security Hub. Puede filtrar los hallazgos por tipo para ver solo los hallazgos de acceso no utilizados. Los hallazgos de acceso no utilizados se formatean en el Open Cybersecurity Schema Framework (OCSF), el mismo formato que utilizan todos los hallazgos de Security Hub.
En cuanto a UnusedPermission los hallazgos, si eliminas algunos permisos no utilizados de la política demasiado permisiva, pero no todos, Security Hub cerrará el hallazgo existente y creará uno nuevo para la política revisada si sigue siendo demasiado permisiva.
También se puede acceder a los datos de acceso no utilizados desde la consola de IAM Access Analyzer. Los datos de acceso no utilizados de la consola de IAM Access Analyzer son de solo lectura y solo están visibles en la región EE.UU. Este (Norte de Virginia).
## Acceso no utilizado a los resultados de exposición
La información de acceso no utilizada puede aparecer como características contextuales en los hallazgos de exposición de Security Hub. Cuando una función de IAM asociada a un recurso tiene permisos no utilizados, el hallazgo de exposición incluye estos permisos como contexto complementario. Esto le ayuda a comprender el potencial radio de ataque de una vulnerabilidad: un recurso con una función de IAM demasiado privilegiada presenta un riesgo mayor que uno con permisos de privilegios mínimos.
Los siguientes tipos de recursos pueden mostrar características contextuales de acceso no utilizadas en sus resultados de exposición:
+ Instancias de Amazon Elastic Compute Cloud
+ AWS Lambda funciones
+ Servicios de Amazon Elastic Container Service
+ Clústeres de Amazon Elastic Kubernetes Service
+ Usuarios de IAM (directamente)
Para obtener más información sobre los hallazgos de exposición, consulte[Resultados de exposición en Security Hub](exposure-findings.md).
## Recomendaciones de políticas para los permisos no utilizados
Para obtener UnusedPermission información, Security Hub puede generar recomendaciones de políticas de privilegios mínimos. Estas recomendaciones le muestran una política de reemplazo exhaustiva que conserva solo los permisos que su director utiliza realmente. Para obtener más información, consulte [Generación de recomendaciones de políticas para los hallazgos de acceso no utilizados](unused-access-recommendations.md).
## Precios
El IAM Access Analyzer, vinculado al servicio, se proporciona a todos los clientes de Security Hub sin coste adicional. No se le cobrará por separado el analizador ni los datos de acceso no utilizados.