Recopila registros de AWS IAM

En este documento, se explica cómo transferir registros de IAM de AWS a Google Security Operations. El analizador transforma los registros sin procesar con formato JSON en un modelo de datos unificado (UDM) estructurado. Extrae campos relevantes, como detalles del usuario, información del rol, permisos y marcas de tiempo, y los asigna a los campos correspondientes del UDM para realizar un análisis de seguridad coherente.

Antes de comenzar

Asegúrate de cumplir con los siguientes requisitos previos:

• Una instancia de Google SecOps
• Acceso con privilegios a la consola de AWS
• Permisos para crear usuarios, roles y políticas de IAM

Elige tu método de integración

Google SecOps admite dos métodos para transferir datos de IAM de AWS:

Método A: CloudTrail + Amazon S3 (registros de actividad)

• Qué recopila: Registros de actividad de IAM (quién realizó qué acciones)
• Fuente de datos: Eventos de AWS CloudTrail
• Latencia: Varios minutos (basada en sondeos)
• Caso de uso: Pista de auditoría histórica, informes de cumplimiento
• Tipo de fuente del feed: Amazon S3 V2

Método B: API de terceros (instantánea de configuración)

• Qué recopila: Datos de configuración de IAM (usuarios, grupos, roles y políticas)
• Fuente de datos: Llamadas directas a la API de IAM de AWS
• Latencia: Casi en tiempo real (sondeo periódico)
• Caso de uso: Supervisión de la configuración de IAM en tiempo real y revisión de acceso
• Tipo de fuente del feed: API de terceros

Método A: Integración de CloudTrail y Amazon S3

Este método usa AWS CloudTrail para capturar la actividad de IAM y almacena los registros en Amazon S3, que luego Google SecOps transfiere.

Crea un bucket de Amazon S3

1. Crea un bucket de Amazon S3 siguiendo esta guía del usuario: Cómo crear un bucket.
2. Guarda el Nombre y la Región del bucket para futuras referencias (por ejemplo, iam-activity-logs-bucket).

Configura la política del bucket de S3 para CloudTrail

CloudTrail necesita permisos para escribir registros en tu bucket de S3.

1. En la consola de Amazon S3, selecciona tu bucket.
2. Ve a Permisos > Política de bucket.

3. Haz clic en Editar y agrega la siguiente política:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "CloudTrailAclCheck",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:GetBucketAcl",
         "Resource": "arn:aws:s3:::iam-activity-logs-bucket"
       },
       {
         "Sid": "CloudTrailWrite",
         "Effect": "Allow",
         "Principal": {
           "Service": "cloudtrail.amazonaws.com"
         },
         "Action": "s3:PutObject",
         "Resource": "arn:aws:s3:::iam-activity-logs-bucket/AWSLogs/*",
         "Condition": {
           "StringEquals": {
             "s3:x-amz-acl": "bucket-owner-full-control"
           }
         }
       }
     ]
   }
   

   • Reemplaza iam-activity-logs-bucket por el nombre real de tu bucket.

4. Haz clic en Guardar cambios.

Configura CloudTrail para capturar la actividad de IAM

1. Accede a la consola de administración de AWS.
2. En la barra de búsqueda, escribe y selecciona CloudTrail en la lista de servicios.
3. Haz clic en Crear ruta.
4. Proporciona los siguientes detalles de configuración:
   • Nombre del registro de auditoría: Ingresa un nombre descriptivo (por ejemplo, IAMActivityTrail).
   • Aplicar el rastro a todas las regiones: Selecciona Sí para registrar las actividades en todas las regiones.
   • Ubicación de almacenamiento: Selecciona Usar bucket de S3 existente y elige el bucket que creaste antes.
   • Prefijo del archivo de registro (opcional): Ingresa un prefijo (por ejemplo, iam-logs/).
   • Encriptación SSE-KMS del archivo de registro: Opcional. Si está habilitada, crea o selecciona una clave de KMS.
5. Haz clic en Siguiente.
6. Configura la selección de eventos:
   • Eventos de administración: Selecciona Lectura y Escritura para capturar los eventos de lectura y escritura en los recursos de IAM.
   • Eventos de datos: Opcional. Si es necesario, habilita los eventos de datos de S3 y Lambda.
   • Eventos de estadísticas: Opcional. Se habilita para la detección de actividad inusual.
7. Haz clic en Siguiente.
8. Revisa la configuración y haz clic en Crear registro.

Opcional: Habilita el control de versiones del bucket de S3 (recomendado)

1. En la consola de Amazon S3, selecciona tu bucket.
2. Ve a Propiedades > Bucket Versioning.
3. Haz clic en Editar.
4. Selecciona Habilitar.
5. Haz clic en Guardar cambios.

Crea un usuario de IAM para el acceso a S3 de Google SecOps

1. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
2. Selecciona el usuario creado.
3. Selecciona la pestaña Credenciales de seguridad.
4. Haz clic en Crear clave de acceso en la sección Claves de acceso.
5. Selecciona Servicio de terceros como Caso de uso.
6. Haz clic en Siguiente.
7. Opcional: Agrega una etiqueta de descripción.
8. Haz clic en Crear clave de acceso.
9. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para consultarlas en el futuro.
10. Haz clic en Listo.
11. Selecciona la pestaña Permisos.
12. Haz clic en Agregar permisos en la sección Políticas de permisos.
13. Selecciona Agregar permisos.
14. Selecciona Adjuntar políticas directamente.
15. Haz clic en Crear política en una pestaña nueva.
16. En el Editor de políticas, selecciona la pestaña JSON.

17. Ingresa la siguiente política:

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "s3:GetObject",
            "s3:ListBucket"
          ],
          "Resource": [
            "arn:aws:s3:::iam-activity-logs-bucket",
            "arn:aws:s3:::iam-activity-logs-bucket/*"
          ]
        }
      ]
    }
    

    • Reemplaza iam-activity-logs-bucket por el nombre real de tu bucket.

18. Haz clic en Siguiente.

19. Asigna a la política el nombre chronicle-s3-read-policy.

20. Haz clic en Crear política.

21. Regresa a la pestaña de creación de usuarios y actualiza la lista de políticas.

22. Busca y selecciona chronicle-s3-read-policy.

23. Haz clic en Siguiente.

24. Haz clic en Agregar permisos.

Opcional: Crea la función de Lambda para la exportación en tiempo real

Si necesitas exportar registros de CloudTrail a S3 casi en tiempo real, haz lo siguiente:

1. En la consola de AWS, ve a Lambda > Functions > Create function.
2. Haz clic en Crear desde cero.

3. Proporciona los siguientes detalles de configuración:

   Configuración	Valor
   Nombre	ExportIAMLogsToS3
   Tiempo de ejecución	Python 3.13
   Arquitectura	x86_64
   Rol de ejecución	Crea un rol nuevo con permisos básicos de Lambda

4. Haz clic en Crear función.

5. Después de crear la función, abre la pestaña Code, borra el código auxiliar y, luego, ingresa el siguiente código:

   import boto3
   import gzip
   from io import BytesIO
   
   s3 = boto3.client('s3')
   logs = boto3.client('logs')
   
   def lambda_handler(event, context):
       log_group = event['logGroup']
       log_stream = event['logStream']
   
       log_events = logs.get_log_events(
           logGroupName=log_group,
           logStreamName=log_stream,
           startFromHead=True
       )
   
       log_data = "\n".join([event['message'] for event in log_events['events']])
   
       # Compress and upload to S3
       compressed_data = gzip.compress(log_data.encode('utf-8'))
       s3.put_object(
           Bucket='iam-activity-logs-bucket',
           Key=f'iam-logs/{log_stream}.gz',
           Body=compressed_data
       )
   
       return {
           'statusCode': 200,
           'body': 'Logs exported successfully'
       }
   

   • Reemplaza iam-activity-logs-bucket por el nombre de tu bucket.

6. Haz clic en Implementar para guardar el código de la función.

Opcional: Configura los permisos del rol de ejecución de Lambda

1. En la misma función, selecciona la pestaña Configuración.
2. Selecciona Permisos en el menú de la izquierda.
3. Haz clic en el nombre del rol de ejecución para abrirlo en la consola de IAM.
4. Haz clic en Agregar permisos > Adjuntar políticas.
5. Haz clic en Crear política en una pestaña nueva.

6. Selecciona la pestaña JSON y pega la siguiente política:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "logs:GetLogEvents",
           "logs:FilterLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Resource": "*"
       },
       {
         "Effect": "Allow",
         "Action": [
           "s3:PutObject"
         ],
         "Resource": "arn:aws:s3:::iam-activity-logs-bucket/*"
       }
     ]
   }
   

   • Reemplaza iam-activity-logs-bucket por el nombre de tu bucket.

7. Haz clic en Siguiente.

8. Asigna a la política el nombre lambda-iam-logs-export-policy.

9. Haz clic en Crear política.

10. Regresa a la pestaña de roles y actualízala.

11. Busca y selecciona lambda-iam-logs-export-policy.

12. Haz clic en Agregar permisos.

Opcional: Configura el tiempo de espera de Lambda

1. En la función Lambda, permanece en la pestaña Configuration.
2. Selecciona Configuración general en el menú de la izquierda.
3. Haz clic en Editar.
4. Cambia Tiempo de espera a 5 minutos (300 segundos).
5. Haz clic en Guardar.

Opcional: Configura el activador de Lambda para CloudWatch Logs

1. En la función de Lambda, selecciona la sección Descripción general de la función en la parte superior.
2. Haz clic en Agregar activador.
3. En el menú desplegable Configuración del activador, selecciona Registros de CloudWatch.
4. Proporciona los siguientes detalles de configuración:
   • Grupo de registros: Selecciona o ingresa el grupo de registros de CloudWatch Logs asociado con CloudTrail (por ejemplo, /aws/cloudtrail/).
   • Nombre del filtro: Ingresa un nombre descriptivo (por ejemplo, IAM-events-filter).
   • Patrón de filtro: Déjalo vacío para capturar todos los eventos o ingresa un patrón específico.
5. Haz clic en Agregar.

Configura feeds

Existen dos puntos de entrada diferentes para configurar feeds en la plataforma de Google SecOps:

• Configuración de SIEM > Feeds > Agregar feed nuevo
• Centro de contenido > Paquetes de contenido > Comenzar

Cómo configurar el feed de IAM de AWS

1. Haz clic en el paquete Amazon Cloud Platform.
2. Busca el tipo de registro IAM de AWS.

3. Especifica los valores en los siguientes campos.

   • Tipo de fuente: API de terceros
   • Nombre de usuario: Nombre de usuario para la autenticación
   • Secreto: Secreto para autenticarse

   Opciones avanzadas

   • Nombre del feed: Es un valor completado previamente que identifica el feed.
   • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
   • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.

4. Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Cómo usar la configuración de SIEM

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Agregar feed nuevo.
3. En la siguiente página, haz clic en Configurar un solo feed.
4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, AWS IAM CloudTrail Logs).
5. Selecciona Amazon S3 V2 como el Tipo de fuente.
6. Selecciona IAM de AWS como el Tipo de registro.
7. Haz clic en Siguiente.

8. Especifica valores para los siguientes parámetros de entrada:

   • URI de S3: s3://iam-activity-logs-bucket/

     • Reemplaza iam-activity-logs-bucket por el nombre real de tu bucket.

   • Opción de borrado de la fuente: Selecciona la opción de borrado según tu preferencia:

     • Nunca: Nunca borra ningún archivo después de las transferencias (se recomienda para las pruebas).
     • On success: Borra todos los archivos y directorios vacíos después de una transferencia exitosa (para optimizar los costos).

   • Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días especificada. El valor predeterminado es de 180 días.

   • ID de clave de acceso: Clave de acceso del usuario con acceso al bucket de S3.

   • Clave de acceso secreta: Clave secreta del usuario con acceso al bucket de S3.

   • Espacio de nombres del recurso: Es el espacio de nombres del recurso.

   • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

9. Haz clic en Siguiente.

10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Método B: Integración de la API de terceros

Este método usa llamadas directas a la API de IAM de AWS para recopilar datos de configuración de IAM actuales (usuarios, grupos, roles y políticas).

Obtén los rangos de IP de Google SecOps

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Agregar feed nuevo.
3. Ten en cuenta los rangos de IP que se muestran en la parte superior de la página.
4. Como alternativa, puedes recuperar rangos de IP de manera programática con la API de Feed Management.

Crea un usuario de IAM con los permisos necesarios

Opción A: Usa la política administrada por AWS (recomendada)

1. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.
2. Selecciona el usuario creado.
3. Selecciona la pestaña Credenciales de seguridad.
4. Haz clic en Crear clave de acceso en la sección Claves de acceso.
5. Selecciona Servicio de terceros como Caso de uso.
6. Haz clic en Siguiente.
7. Opcional: Agrega una etiqueta de descripción.
8. Haz clic en Crear clave de acceso.
9. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para consultarlas en el futuro.
10. Haz clic en Listo.
11. Selecciona la pestaña Permisos.
12. Haz clic en Agregar permisos en la sección Políticas de permisos.
13. Selecciona Agregar permisos.
14. Selecciona Adjuntar políticas directamente.
15. Busca IAMReadOnlyAccess (política administrada por AWS).
16. Selecciona la política.
17. Haz clic en Siguiente.
18. Haz clic en Agregar permisos.

Importante: La política de IAMReadOnlyAccess incluye todos los permisos necesarios:

• iam:GetUser
• iam:ListUsers
• iam:GetGroup
• iam:ListGroups
• iam:GetPolicy
• iam:ListPolicies
• iam:GetRole
• iam:ListRoles
• iam:ListAttachedUserPolicies
• iam:ListAttachedGroupPolicies
• iam:ListAttachedRolePolicies
• iam:GetAccountSummary

Opción B: Crea una política personalizada (privilegio mínimo)

Si tu política de seguridad requiere permisos mínimos en lugar de la política administrada, haz lo siguiente:

1. En la consola de AWS, ve a IAM > Políticas > Crear política > pestaña JSON.

2. Pega la siguiente política:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "iam:GetUser",
           "iam:ListUsers",
           "iam:GetGroup",
           "iam:ListGroups",
           "iam:GetPolicy",
           "iam:ListPolicies",
           "iam:GetRole",
           "iam:ListRoles",
           "iam:ListAttachedUserPolicies",
           "iam:ListAttachedGroupPolicies",
           "iam:ListAttachedRolePolicies",
           "iam:GetAccountSummary"
         ],
         "Resource": "*"
       }
     ]
   }
   

3. Haz clic en Siguiente.

4. Asigna a la política el nombre chronicle-iam-api-read-policy.

5. Haz clic en Crear política.

6. Crea un usuario siguiendo esta guía del usuario: Cómo crear un usuario de IAM.

7. Selecciona el usuario creado.

8. Selecciona la pestaña Credenciales de seguridad.

9. Haz clic en Crear clave de acceso en la sección Claves de acceso.

10. Selecciona Servicio de terceros como Caso de uso.

11. Haz clic en Siguiente.

12. Opcional: Agrega una etiqueta de descripción.

13. Haz clic en Crear clave de acceso.

14. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para consultarlas en el futuro.

15. Haz clic en Listo.

16. Selecciona la pestaña Permisos.

17. Haz clic en Agregar permisos en la sección Políticas de permisos.

18. Selecciona Agregar permisos.

19. Selecciona Adjuntar políticas directamente.

20. Busca y selecciona chronicle-iam-api-read-policy.

21. Haz clic en Siguiente.

22. Haz clic en Agregar permisos.

Configura un feed en Google SecOps para transferir datos de configuración de IAM

Cómo usar el Centro de contenido (recomendado)

1. Ve a Centro de contenido > Paquetes de contenido > Comenzar.
2. Haz clic en el paquete Amazon Cloud Platform.
3. Busca el tipo de registro IAM de AWS.
4. Selecciona API de terceros en el menú desplegable Tipo de fuente.
5. Proporciona los siguientes detalles de configuración:
   • Nombre de usuario: Es el ID de clave de acceso del usuario de IAM que creaste antes.
   • Secret: Es la clave de acceso secreta del usuario de IAM que creaste antes.
   • Nombre del feed: Es un valor completado previamente que identifica el feed (por ejemplo, AWS IAM API Configuration).
   • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
   • Etiquetas de transferencia: Son las etiquetas que se aplican a todos los eventos de este feed.
6. Haz clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros dentro de esta familia de productos, consulta Configura feeds por producto.

Cómo usar la configuración de SIEM

1. Ve a Configuración de SIEM > Feeds.
2. Haz clic en Agregar feed nuevo.
3. En la siguiente página, haz clic en Configurar un solo feed.
4. En el campo Nombre del feed, ingresa un nombre para el feed (por ejemplo, AWS IAM API Configuration).
5. Selecciona API de terceros como el Tipo de origen.
6. Selecciona IAM de AWS como el Tipo de registro.
7. Haz clic en Siguiente.

8. Especifica valores para los siguientes parámetros de entrada:

   • Nombre de usuario: Es el ID de clave de acceso del usuario de IAM que creaste antes.
   • Secret: Es la clave de acceso secreta del usuario de IAM que creaste antes.
   • Región: La región de AWS (por ejemplo, us-east-1).
   • Espacio de nombres del recurso: Es el espacio de nombres del recurso.
   • Etiquetas de transmisión: Es la etiqueta que se aplicará a los eventos de este feed.

9. Haz clic en Siguiente.

10. Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
Arn	entity.entity.resource.name	Se asigna directamente desde el campo ARN. Se aplica a varios tipos de entidades. Para el tipo de entidad GROUP, se asigna desde Group.Arn.
AssumeRolePolicyDocument	entity.entity.resource.attribute.permissions.name	Se asigna directamente desde el campo AssumeRolePolicyDocument, pero solo para el tipo de entidad RESOURCE.
CreateDate	entity.entity.user.attribute.creation_time	Se asigna directamente desde el campo CreateDate y se convierte al formato de marca de tiempo de Chronicle.
CreateDate	entity.entity.resource.attribute.creation_time	Se asigna directamente desde el campo CreateDate y se convierte al formato de marca de tiempo de Chronicle.
Group.Arn	entity.entity.resource.name	Se asigna directamente desde el campo Group.Arn.
Group.CreateDate	entity.entity.group.attribute.creation_time	Se asigna directamente desde el campo Group.CreateDate y se convierte al formato de marca de tiempo de Chronicle.
Group.GroupID	entity.entity.group.product_object_id	Se asigna directamente desde el campo Group.GroupID.
Group.GroupName	entity.entity.group.group_display_name	Se asigna directamente desde el campo Group.GroupName.
Group.GroupName	entity.entity.group.email_addresses	Se asigna directamente desde el campo Group.GroupName.
Group.Path	entity.entity.group.attribute.labels.value	La clave se asigna directamente desde el campo Group.Path y se codifica de forma rígida en path.
IsTruncated	entity.entity.group.attribute.labels.value	Se asigna directamente desde el campo IsTruncated convertido en cadena. La clave se codifica de forma rígida como is_truncated.
Marker	entity.entity.group.attribute.labels.value	La clave se asigna directamente desde el campo Marcador y está codificada como marcador.
PasswordLastUsed	entity.entity.user.last_login_time	Se asigna directamente desde el campo PasswordLastUsed y se convierte al formato de marca de tiempo de Chronicle.
Path	entity.entity.user.attribute.labels.value	Se asigna directamente desde el campo Ruta de acceso para el tipo de entidad USUARIO. La clave está codificada de forma rígida en la ruta de acceso.
Path	entity.entity.resource.attribute.labels.value	Se asigna directamente desde el campo Ruta de acceso para el tipo de entidad RECURSO. La clave está codificada de forma rígida como ruta de acceso.
PermissionsBoundary.PermissionsBoundaryArn	entity.entity.resource.attribute.labels.value	Se asigna directamente desde el campo PermissionsBoundary.PermissionsBoundaryArn. La clave está codificada como permissions_boundary_arn.
PermissionsBoundary.PermissionsBoundaryType	entity.entity.resource.attribute.labels.value	Se asigna directamente desde el campo PermissionsBoundary.PermissionsBoundaryType, y la clave está codificada de forma rígida como permissions_boundary_type.
RoleID	entity.entity.resource.product_object_id	Se asigna directamente desde el campo RoleID.
RoleLastUsed.LastUsedDate	entity.entity.resource.attribute.labels.value	Se asigna directamente desde el campo RoleLastUsed.LastUsedDate. La clave está codificada como role_last_used_date.
RoleLastUsed.Region	entity.entity.location.name	Se asigna directamente desde el campo RoleLastUsed.Region.
RoleName	entity.entity.resource.attribute.roles.name	Se asigna directamente desde el campo RoleName.
Tags.Key	entity.entity.user.attribute.labels.key	Se usa como clave para las etiquetas en la entidad del usuario.
Tags.Value	entity.entity.user.attribute.labels.value	Se usa como el valor de las etiquetas en la entidad del usuario.
UserID	entity.entity.user.product_object_id	Se asigna directamente desde el campo UserID.
UserName	entity.entity.user.userid	Se asigna directamente desde el campo UserName.
Users.Arn	relations.entity.resource.name	Se asigna directamente desde el campo Users.Arn dentro de la relación del usuario.
Users.CreateDate	relations.entity.user.attribute.creation_time	Se asigna directamente desde el campo Users.CreateDate dentro de la relación del usuario y se convierte al formato de marca de tiempo de Chronicle.
Users.PasswordLastUsed	relations.entity.user.last_login_time	Se asigna directamente desde el campo Users.PasswordLastUsed dentro de la relación del usuario y se convierte al formato de marca de tiempo de Chronicle.
Users.Path	relations.entity.user.attribute.labels.value	La clave se asigna directamente desde el campo Users.Path dentro de la relación del usuario y está codificada de forma rígida como ruta.
Users.PermissionsBoundary.PermissionsBoundaryArn	relations.entity.resource.attribute.labels.value	Se asigna directamente desde el campo Users.PermissionsBoundary.PermissionsBoundaryArn dentro de la relación del usuario. La clave está codificada como permissions_boundary_arn.
Users.PermissionsBoundary.PermissionsBoundaryType	relations.entity.resource.attribute.labels.value	Se asigna directamente desde el campo PermissionsBoundary.PermissionsBoundaryType dentro de la relación del usuario.La clave está codificada como permissions_boundary_type.
Users.UserID	relations.entity.user.product_object_id	Se asigna directamente desde el campo UserID de Users dentro de la relación de usuarios.
Users.UserName	relations.entity.user.userid	Se asigna directamente desde el campo Users.UserName dentro de la relación del usuario.
N/A	entity.metadata.collected_timestamp	Se propaga con la marca de tiempo de la transferencia del evento.
N/A	entity.metadata.vendor_name	Está codificado de forma rígida en AWS.
N/A	entity.metadata.product_name	Está codificado de forma rígida en IAM de AWS.
N/A	entity.metadata.entity_type	Se determina según la presencia de campos específicos: USER si existe UserID, RESOURCE si existe RoleID y GROUP si existe Group.GroupName.
N/A	entity.entity.resource.resource_subtype	Se establece en Usuario para los tipos de entidades USUARIO y en Rol para los tipos de entidades RECURSO.
N/A	entity.entity.resource.resource_type	Se establece en ACCESS_POLICY para el tipo de entidad RESOURCE.
N/A	entity.entity.resource.attribute.cloud.environment	Está codificado como AMAZON_WEB_SERVICES.
N/A	relations.entity_type	Está codificado como USER para las relaciones de usuario.
N/A	relations.relationship	Se codifica como MEMBER para las relaciones de grupos de usuarios.
N/A	relations.direction	Está codificado como UNIDIRECTIONAL.
N/A	relations.entity.resource.resource_subtype	Está codificado como User para las relaciones de usuarios.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.