# SEC03-BP07 Analizar el acceso público y entre cuentas
<a name="sec_permissions_analyze_cross_account"></a>

Supervise continuamente los resultados que ponen de relieve el acceso público y entre cuentas. Reduzca el acceso público y el acceso entre cuentas solo a los recursos que requieran este tipo de acceso. 

 **Patrones comunes de uso no recomendados:** 
+  No seguir un proceso para controlar el acceso entre cuentas y el acceso público a los recursos 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo 

## Guía para la implementación
<a name="implementation-guidance"></a>

En AWS, puede conceder acceso a los recursos de otra cuenta. El acceso entre cuentas se concede directamente mediante políticas adjuntas a los recursos (por ejemplo, [políticas de buckets de Amazon Simple Storage Service [Amazon S3]](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) o al permitir que una identidad asuma un rol de IAM en otra cuenta. Cuando utilice las políticas de recursos, verifique que se concede acceso a las identidades de su organización y que tiene la intención de hacer públicos los recursos. Defina un proceso para aprobar todos los recursos que deban estar disponibles públicamente. 

 [IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) usa [seguridad comprobable](https://aws.amazon.com/security/provable-security/) para identificar todas las rutas de acceso a un recurso desde fuera de su cuenta. Revisa continuamente las políticas de recursos e informa de los resultados del acceso público y entre cuentas para facilitarle el análisis de un acceso potencialmente amplio. Considere la posibilidad de configurar IAM Access Analyzer con AWS Organizations para verificar que tiene visibilidad en todas sus cuentas. IAM Access Analyzer también le permite [obtener una vista previa de los resultados del analizador de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), antes de desplegar los permisos de los recursos. Esto le permite validar que sus cambios de política conceden solo el acceso público y entre cuentas previsto a sus recursos. Cuando diseñe para el acceso de varias cuentas, puede utilizar [políticas de confianza para controlar en qué casos se puede asumir un rol](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Por ejemplo, puede limitar la asunción de roles a un intervalo de IP de origen concreto. 

 También puede utilizar [AWS Config para informar y corregir los recursos](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) para cualquier configuración de acceso público accidental, mediante comprobaciones de políticas de AWS Config. Servicios como [AWS Control Tower](https://aws.amazon.com/controltower) y [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) simplifican el despliegue de controles y barreras de protección en AWS Organizations para identificar y corregir los recursos expuestos públicamente. Por ejemplo, AWS Control Tower tiene una barrera de protección administrada que puede detectar si alguna [instantánea de Amazon EBS la pueden restaurar todas las cuentas de AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Using AWS Identity and Access Management Access Analyzer (Uso de AWS Identity and Access Management Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+  [Guardrails in AWS Control Tower (Barreras de protección en AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Foundational Security Best Practices standard (Estándar de prácticas recomendadas de seguridad básicas de AWS)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+  [AWS Config Managed Rules (Reglas administradas de AWS Config)](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) 
+  [AWS Trusted Advisor check reference (Referencia de verificación de AWS Trusted Advisor)](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html) 

 **Vídeos relacionados:** 
+ [Best Practices for securing your multi-account environment (Prácticas recomendadas para proteger su entorno de varias cuentas)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Profundización en IAM Access Analyzer)](https://www.youtube.com/watch?v=i5apYXya2m0)