# SEC03-BP04 Reducir continuamente los permisos
<a name="sec_permissions_continuous_reduction"></a>

 A medida que los equipos y las cargas de trabajo determinen qué acceso necesitan, elimine los permisos que ya no utilicen y establezca procesos de revisión para conseguir permisos con privilegios mínimos. Supervise y reduzca continuamente las identidades y permisos no utilizados. 

A veces, cuando los equipos y proyectos están empezando, puede que decida conceder un acceso amplio (en un entorno de desarrollo o pruebas) para estimular la innovación y la agilidad. Recomendamos que evalúe el acceso continuamente y que, especialmente en un entorno de producción, restrinja el acceso solamente a los permisos necesarios y que aplique privilegios mínimos. AWS ofrece capacidades de análisis del acceso para ayudarle a identificar los accesos no utilizados. Para ayudarle a identificar los usuarios, roles, permisos y credenciales no utilizados, AWS analiza la actividad de acceso y ofrece información sobre el último uso de las claves de acceso y los roles. Puede usar la [marca de tiempo de último acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) to [identificar usuarios y roles no utilizados](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)y eliminarlos. Además, puede revisar la información de último acceso en servicios y acciones para identificar y [limitar los permisos para usuarios y roles específicos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Por ejemplo, puede utilizar la información sobre el último acceso para identificar las acciones específicas de Amazon Simple Storage Service (Amazon S3) necesarias para el rol de su aplicación y restringir el acceso únicamente a dichas acciones. Estas características están disponibles en la Consola de administración de AWS y de manera programática para permitirle incorporarlas en sus flujos de trabajo de infraestructura y sus herramientas automatizadas.

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Configure AWS Identify and Access Management (IAM) Access Analyzer: AWS IAM Access Analyzer le ayuda a identificar los recursos y cuentas de su organización, como los buckets de Amazon Simple Storage Service (Amazon S3) o los roles de IAM, que se comparten con una entidad externa. 
  + [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Conceder privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [Elimine credenciales innecesarias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Vídeos relacionados:** 
+  [Consiga dominar las políticas de IAM en 60 minutos o menos](https://youtu.be/YQsK4MtsELU) 
+  [Separación de deberes, privilegio mínimo, delegación y CI/CD](https://youtu.be/3H0i7VyTu70)