Resultados de error de acceso externo Resultados de error de acceso interno Resolución de resultados de errores

Resultados de error del Analizador de acceso de IAM

Cuando el Analizador de acceso de IAM analiza los recursos, normalmente genera resultados que muestran quién tiene acceso a sus recursos. Sin embargo, en algunos casos, el analizador puede encontrar problemas que le impidan completar el análisis. En estas situaciones, el Analizador de acceso de IAM genera resultados de error en su lugar.

Los resultados de error indican que el Analizador de acceso de IAM no pudo completar el análisis para un recurso específico o para un par específico de entidad principal-recurso. Estos resultados lo ayudan a identificar los recursos que podrían necesitar atención para garantizar un análisis adecuado.

Resultados de error de acceso externo

Los analizadores de acceso externo, que identifican los recursos compartidos fuera de su cuenta u organización, pueden generar dos tipos de resultados de error:

INTERNAL_ERROR: indica que el Analizador de acceso de IAM encontró un problema interno al analizar el recurso. Esto podría deberse a limitaciones del servicio o a problemas temporales.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

ACCESS_DENIED: indica que el Analizador de acceso de IAM no tiene los permisos necesarios para analizar el recurso. Esto suele ocurrir cuando se deniega el acceso al recurso al rol vinculado al servicio (SLR) del Analizador de acceso de IAM.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

Resultados de error de acceso interno

Los analizadores de acceso interno, que identifican el acceso dentro de su cuenta u organización, pueden generar cuatro tipos de resultados de error:

PRINCIPAL_LIMIT_EXCEEDED: se genera cuando más de 3000 entidades principales tienen acceso a un recurso crítico. Este error lo ayuda a identificar recursos con un acceso demasiado amplio que podrían necesitar restringirse.

Si realiza cambios en el recurso o las entidades principales de su entorno que reduzcan el número de entidades principales por debajo del límite, el analizador generará resultados normales durante el siguiente análisis y el resultado de error se marcará como resuelto.
```
{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}
```

Errores a nivel de recurso (INTERNAL_ERROR o ACCESS_DENIED): al igual que los errores de acceso externo, indican que el analizador no pudo analizar un recurso específico debido a problemas internos o de permisos. Cuando se produce un error a nivel de recurso, el analizador genera un único resultado de error para el recurso en lugar de los resultados normales.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Errores a nivel de entidad principal (INTERNAL_ERROR o ACCESS_DENIED): indica que el analizador no pudo analizar el acceso de una entidad principal específica a un recurso específico. A diferencia de los errores a nivel de recurso, un recurso puede tener tanto resultados normales para algunas entidades principales como resultados de error para otras entidades principales.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

PRINCIPAL_ERRORS_LIMIT_EXCEEDED: se genera cuando hay demasiados resultados de errores a nivel de entidad principal para un solo recurso. Este es un resultado de error a nivel de recurso que puede aparecer junto con los resultados normales para el mismo recurso.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Resolución de resultados de errores

Si resuelve el problema que impedía que IAM Access Analyzer analice el recurso, el resultado de error se eliminará por completo en lugar de cambiar a un resultado resuelto.

Para resolver los resultados de errores, considere los siguientes enfoques según el tipo de error:

Para los errores ACCESS_DENIED, verifique que el rol vinculado al servicio del Analizador de acceso de IAM tenga los permisos necesarios para acceder al recurso.
Para los errores PRINCIPAL_LIMIT_EXCEEDED, revise las políticas de acceso del recurso y considere la posibilidad de restringir el acceso a menos entidades principales.
Para los resultados de INTERNAL_ERROR, es posible que deba esperar a un ciclo de análisis posterior o ponerse en contacto con el servicio de asistencia de AWS si el problema persiste.
Para PRINCIPAL_ERRORS_LIMIT_EXCEEDED, revise y, si es posible, simplifique los patrones de acceso del recurso afectado.

Después de realizar los cambios para solucionar los problemas subyacentes, el Analizador de acceso de IAM intentará analizar los recursos de nuevo durante su siguiente ciclo de análisis.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Resolución de resultados

Tipos de recursos admitidos