Recopilar registros de gestión de identidades y accesos de AWS

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de AWS IAM en Google Security Operations. El analizador transforma los registros sin procesar con formato JSON en un modelo de datos unificado (UDM) estructurado. Extrae campos relevantes, como los detalles del usuario, la información del rol, los permisos y las marcas de tiempo, y los asigna a los campos de UDM correspondientes para que el análisis de seguridad sea coherente.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Una instancia de Google SecOps
Acceso con privilegios a la consola de AWS
Permisos para crear usuarios, roles y políticas de gestión de identidades y accesos

Elige el método de integración

Google SecOps admite dos métodos para ingerir datos de AWS IAM:

Método A: CloudTrail + Amazon S3 (registros de actividad)

Qué recoge: registros de actividad de gestión de identidades y accesos (quién ha realizado qué acciones)
Fuente de datos: eventos de AWS CloudTrail
Latencia: varios minutos (basada en sondeos)
Caso práctico: registro de auditoría histórico e informes de cumplimiento
Tipo de fuente de feed: Amazon S3 V2

Método B: API de terceros (captura de configuración)

Qué recoge: datos de configuración de gestión de identidades y accesos (usuarios, grupos, roles y políticas)
Fuente de datos: llamadas directas a la API de Gestión de Identidades y Accesos de AWS
Latencia: casi en tiempo real (sondeo periódico)
Caso práctico: monitorización de la configuración de gestión de identidades y accesos en tiempo real y revisión de accesos
Tipo de fuente de feed: API de terceros

Método A: integración de CloudTrail y Amazon S3

Este método usa AWS CloudTrail para registrar la actividad de IAM y almacena los registros en Amazon S3, que Google SecOps ingiere.

Crear un segmento de Amazon S3

Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
Guarda el nombre y la región del segmento para consultarlos más adelante (por ejemplo, iam-activity-logs-bucket).

Configurar la política de segmentos de S3 para CloudTrail

CloudTrail necesita permisos para escribir registros en tu segmento de S3.

En la consola de Amazon S3, selecciona tu segmento.
Ve a Permisos > Política de cubeta.

Haz clic en Editar y añade la siguiente política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CloudTrailAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket"
    },
    {
      "Sid": "CloudTrailWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/AWSLogs/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control"
        }
      }
    }
  ]
}

Sustituye iam-activity-logs-bucket por el nombre de tu segmento.

Haz clic en Guardar cambios.

Configurar CloudTrail para registrar la actividad de IAM

Inicia sesión en la consola de administración de AWS.
En la barra de búsqueda, escribe y selecciona CloudTrail en la lista de servicios.
Haz clic en Crear recorrido.
Proporcione los siguientes detalles de configuración:
- Nombre del recorrido: introduce un nombre descriptivo (por ejemplo, IAMActivityTrail).
- Aplicar el rastro a todas las regiones: selecciona Sí para registrar la actividad de todas las regiones.
- Ubicación de almacenamiento: selecciona Usar un segmento de S3 y elige el segmento que has creado antes.
- Prefijo del archivo de registro (opcional): introduce un prefijo (por ejemplo, iam-logs/).
- Cifrado SSE-KMS de archivos de registro: opcional. Si está habilitada, crea o selecciona una clave de KMS.
Haz clic en Siguiente.
Configurar la selección de eventos:
- Eventos de gestión: selecciona Leer y Escribir para registrar los eventos de lectura y escritura de los recursos de gestión de identidades y accesos.
- Eventos de datos: opcional. Habilita los eventos de datos de S3 y Lambda si es necesario.
- Eventos de estadísticas: opcional. Habilita esta opción para detectar actividad inusual.
Haz clic en Siguiente.
Revisa la configuración y haz clic en Crear registro.

Opcional: Habilita la gestión de versiones del bucket de S3 (recomendado)

En la consola de Amazon S3, selecciona tu segmento.
Vaya a Propiedades > Versionado de cubos.
Haz clic en Editar.
Selecciona Habilitar.
Haz clic en Guardar cambios.

Crear un usuario de gestión de identidades y accesos para acceder a S3 de Google SecOps

Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
Selecciona el usuario creado.
Selecciona la pestaña Credenciales de seguridad.
En la sección Claves de acceso, haz clic en Crear clave de acceso.
Selecciona Servicio de terceros en Caso práctico.
Haz clic en Siguiente.
Opcional: añade una etiqueta de descripción.
Haz clic en Crear clave de acceso.
Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para futuras consultas.
Haz clic en Listo.
Selecciona la pestaña Permisos.
Haz clic en Añadir permisos en la sección Políticas de permisos.
Selecciona Añadir permisos.
Seleccione Adjuntar políticas directamente.
Haz clic en Crear política en una pestaña nueva.
En el editor de políticas, selecciona la pestaña JSON.

Introduce la siguiente política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::iam-activity-logs-bucket",
        "arn:aws:s3:::iam-activity-logs-bucket/*"
      ]
    }
  ]
}

Sustituye iam-activity-logs-bucket por el nombre de tu segmento.

Haz clic en Siguiente.
Asigna un nombre a la política chronicle-s3-read-policy.
Haz clic en Crear política.
Vuelve a la pestaña de creación de usuarios y actualiza la lista de políticas.
Busca y selecciona chronicle-s3-read-policy.
Haz clic en Siguiente.
Haz clic en Añadir permisos.

Opcional: Crear la función Lambda para la exportación en tiempo real

Si necesitas exportar registros de CloudTrail a S3 casi en tiempo real, haz lo siguiente:

En la consola de AWS, ve a Lambda > Funciones > Crear función.
Haz clic en Crear desde cero.
Proporciona los siguientes detalles de configuración:

Ajuste Valor

Nombre ExportIAMLogsToS3

Tiempo de ejecución Python 3.13

Arquitectura x86_64

Rol de ejecución Crear un rol con permisos básicos de Lambda
Haz clic en Crear función.

Ajuste	Valor
Nombre	`ExportIAMLogsToS3`
Tiempo de ejecución	Python 3.13
Arquitectura	x86_64
Rol de ejecución	Crear un rol con permisos básicos de Lambda

Una vez creada la función, abra la pestaña Código, elimine el stub e introduzca el siguiente código:

import boto3
import gzip
from io import BytesIO

s3 = boto3.client('s3')
logs = boto3.client('logs')

def lambda_handler(event, context):
    log_group = event['logGroup']
    log_stream = event['logStream']

    log_events = logs.get_log_events(
        logGroupName=log_group,
        logStreamName=log_stream,
        startFromHead=True
    )

    log_data = "\n".join([event['message'] for event in log_events['events']])

    # Compress and upload to S3
    compressed_data = gzip.compress(log_data.encode('utf-8'))
    s3.put_object(
        Bucket='iam-activity-logs-bucket',
        Key=f'iam-logs/{log_stream}.gz',
        Body=compressed_data
    )

    return {
        'statusCode': 200,
        'body': 'Logs exported successfully'
    }

Sustituye iam-activity-logs-bucket por el nombre de tu segmento.

Haz clic en Implementar para guardar el código de la función.

Opcional: Configurar los permisos del rol de ejecución de Lambda

En la misma función, selecciona la pestaña Configuración.
En el menú de la izquierda, selecciona Permisos.
Haz clic en el nombre del rol de ejecución para abrirlo en la consola de gestión de identidades y accesos.
Haz clic en Añadir permisos > Adjuntar políticas.
Haz clic en Crear política en una pestaña nueva.

Selecciona la pestaña JSON y pega la siguiente política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:GetLogEvents",
        "logs:FilterLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::iam-activity-logs-bucket/*"
    }
  ]
}

Sustituye iam-activity-logs-bucket por el nombre de tu segmento.

Haz clic en Siguiente.
Asigna un nombre a la política lambda-iam-logs-export-policy.
Haz clic en Crear política.
Vuelve a la pestaña de roles y actualízala.
Busca y selecciona lambda-iam-logs-export-policy.
Haz clic en Añadir permisos.

Opcional: Configurar el tiempo de espera de Lambda

En la función Lambda, permanece en la pestaña Configuration (Configuración).
En el menú de la izquierda, selecciona Configuración general.
Haz clic en Editar.
Cambia Tiempo de espera a 5 minutos (300 segundos).
Haz clic en Guardar.

Opcional: Configurar un activador de Lambda para CloudWatch Logs

En la función Lambda, selecciona la sección Resumen de la función, situada en la parte superior.
Haz clic en Añadir activador.
En el menú desplegable Configuración del activador, selecciona Registros de CloudWatch.
Proporcione los siguientes detalles de configuración:
- Grupo de registros: selecciona o introduce el grupo de registros de CloudWatch Logs asociado a CloudTrail (por ejemplo, /aws/cloudtrail/).
- Nombre del filtro: introduce un nombre descriptivo (por ejemplo, IAM-events-filter).
- Patrón de filtro: déjelo vacío para registrar todos los eventos o introduzca un patrón específico.
Haz clic en Añadir.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

Configuración de SIEM > Feeds > Añadir nuevo feed
Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de gestión de identidades y accesos de AWS

Haz clic en el paquete Amazon Cloud Platform.
Busca el tipo de registro AWS IAM.
Especifique los valores en los campos siguientes.
- Tipo de fuente: API de terceros
- Nombre de usuario: nombre de usuario para la autenticación.
- Secreto: secreto para autenticarte.
Opciones avanzadas
- Nombre del feed: valor rellenado automáticamente que identifica el feed.
- Espacio de nombres del recurso: espacio de nombres asociado al feed.
- Etiquetas de ingesta: etiquetas aplicadas a todos los eventos de este feed.
Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulte el artículo Configurar feeds por producto.

Usar la configuración de SIEM

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, AWS IAM CloudTrail Logs).
Selecciona Amazon S3 V2 como Tipo de fuente.
Seleccione AWS IAM como Tipo de registro.
Haz clic en Siguiente.
Especifique los valores de los siguientes parámetros de entrada:
- URI de S3: s3://iam-activity-logs-bucket/
  - Sustituye iam-activity-logs-bucket por el nombre de tu segmento.
  Nota: Incluye la barra (/) al final del URI.
- Opción de eliminación de la fuente: selecciona la opción de eliminación que prefieras:
  - Nunca: no elimina ningún archivo después de las transferencias (opción recomendada para las pruebas).
  - Si la transferencia se realiza correctamente: elimina todos los archivos y directorios vacíos después de que la transferencia se haya completado correctamente (para optimizar los costes).
  Nota: Si seleccionas la opción de eliminación, asegúrate de que el usuario de IAM tenga el permiso s3:DeleteObject.
- Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
- ID de clave de acceso: clave de acceso de usuario con acceso al bucket de S3.
- Clave de acceso secreta: clave secreta del usuario con acceso al bucket de S3.
- Espacio de nombres de recursos: el espacio de nombres de recursos.
- Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revise la configuración de su nuevo feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Método B: integración de APIs de terceros

Este método usa llamadas directas a la API de gestión de identidades y accesos de AWS para recoger datos de configuración de gestión de identidades y accesos (usuarios, grupos, roles y políticas).

Obtener los intervalos de direcciones IP de Google SecOps

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
Fíjate en los intervalos de IP que se muestran en la parte superior de la página.
También puedes obtener los intervalos de IP de forma programática mediante la API Feed Management.

Crear un usuario de gestión de identidades y accesos con los permisos necesarios

Opción A: Usar una política gestionada de AWS (recomendada)

Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
Selecciona el usuario creado.
Selecciona la pestaña Credenciales de seguridad.
En la sección Claves de acceso, haz clic en Crear clave de acceso.
Selecciona Servicio de terceros en Caso práctico.
Haz clic en Siguiente.
Opcional: añade una etiqueta de descripción.
Haz clic en Crear clave de acceso.
Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para futuras consultas.
Haz clic en Listo.
Selecciona la pestaña Permisos.
Haz clic en Añadir permisos en la sección Políticas de permisos.
Selecciona Añadir permisos.
Seleccione Adjuntar políticas directamente.
Busca IAMReadOnlyAccess (política gestionada por AWS).
Selecciona la política.
Haz clic en Siguiente.
Haz clic en Añadir permisos.

Importante: La política IAMReadOnlyAccess incluye todos los permisos necesarios:

iam:GetUser
iam:ListUsers
iam:GetGroup
iam:ListGroups
iam:GetPolicy
iam:ListPolicies
iam:GetRole
iam:ListRoles
iam:ListAttachedUserPolicies
iam:ListAttachedGroupPolicies
iam:ListAttachedRolePolicies
iam:GetAccountSummary

Opción B: Crear una política personalizada (mínimos privilegios)

Si tu política de seguridad requiere permisos mínimos en lugar de la política gestionada:

En la consola de AWS, ve a IAM > Policies > Create policy > JSON tab.

Pega la siguiente política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetUser",
        "iam:ListUsers",
        "iam:GetGroup",
        "iam:ListGroups",
        "iam:GetPolicy",
        "iam:ListPolicies",
        "iam:GetRole",
        "iam:ListRoles",
        "iam:ListAttachedUserPolicies",
        "iam:ListAttachedGroupPolicies",
        "iam:ListAttachedRolePolicies",
        "iam:GetAccountSummary"
      ],
      "Resource": "*"
    }
  ]
}

Haz clic en Siguiente.
Asigna un nombre a la política chronicle-iam-api-read-policy.
Haz clic en Crear política.
Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
Selecciona el usuario creado.
Selecciona la pestaña Credenciales de seguridad.
En la sección Claves de acceso, haz clic en Crear clave de acceso.
Selecciona Servicio de terceros en Caso práctico.
Haz clic en Siguiente.
Opcional: añade una etiqueta de descripción.
Haz clic en Crear clave de acceso.
Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para futuras consultas.
Haz clic en Listo.
Selecciona la pestaña Permisos.
Haz clic en Añadir permisos en la sección Políticas de permisos.
Selecciona Añadir permisos.
Seleccione Adjuntar políticas directamente.
Busca y selecciona chronicle-iam-api-read-policy.
Haz clic en Siguiente.
Haz clic en Añadir permisos.

Configurar un feed en Google SecOps para ingerir datos de configuración de gestión de identidades y accesos

Usar el centro de contenidos (opción recomendada)

Ve a Centro de contenido > Paquetes de contenido > Empezar.
Haz clic en el paquete Amazon Cloud Platform.
Busca el tipo de registro AWS IAM.
En el menú desplegable Tipo de fuente, seleccione API de terceros.
Proporcione los siguientes detalles de configuración:
- Nombre de usuario: el ID de clave de acceso del usuario de gestión de identidades y accesos que has creado antes.
- Secreto: la clave de acceso secreta del usuario de IAM que has creado antes.
- Nombre del feed: valor rellenado automáticamente que identifica el feed (por ejemplo, AWS IAM API Configuration).
- Espacio de nombres del recurso: espacio de nombres asociado al feed.
- Etiquetas de ingesta: etiquetas aplicadas a todos los eventos de este feed.
Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulte el artículo Configurar feeds por producto.

Usar la configuración de SIEM

Ve a Configuración de SIEM > Feeds.
Haz clic en Añadir feed.
En la página siguiente, haga clic en Configurar un solo feed.
En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, AWS IAM API Configuration).
Seleccione API de terceros como Tipo de fuente.
Seleccione AWS IAM como Tipo de registro.
Haz clic en Siguiente.
Especifique los valores de los siguientes parámetros de entrada:
- Nombre de usuario: el ID de clave de acceso del usuario de gestión de identidades y accesos que has creado antes.
- Secreto: la clave de acceso secreta del usuario de IAM que has creado antes.
- Región: la región de AWS (por ejemplo, us-east-1).
Nota: AWS IAM es un servicio global, pero debes especificar una región para el enrutamiento de endpoints de API.
- Espacio de nombres de recursos: el espacio de nombres de recursos.
- Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
Haz clic en Siguiente.
Revise la configuración de su nuevo feed en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`Arn`	`entity.entity.resource.name`	Se asigna directamente desde el campo ARN. Se aplica a varios tipos de entidades. En el caso del tipo de entidad GROUP, se asigna desde Group.Arn.
`AssumeRolePolicyDocument`	`entity.entity.resource.attribute.permissions.name`	Se asigna directamente desde el campo AssumeRolePolicyDocument, pero solo para el tipo de entidad RESOURCE.
`CreateDate`	`entity.entity.user.attribute.creation_time`	Se asigna directamente desde el campo CreateDate y se convierte al formato de marca de tiempo de Chronicle.
`CreateDate`	`entity.entity.resource.attribute.creation_time`	Se asigna directamente desde el campo CreateDate y se convierte al formato de marca de tiempo de Chronicle.
`Group.Arn`	`entity.entity.resource.name`	Se asigna directamente desde el campo Group.Arn.
`Group.CreateDate`	`entity.entity.group.attribute.creation_time`	Se asigna directamente desde el campo Group.CreateDate y se convierte al formato de marca de tiempo de Chronicle.
`Group.GroupID`	`entity.entity.group.product_object_id`	Se asigna directamente desde el campo Group.GroupID.
`Group.GroupName`	`entity.entity.group.group_display_name`	Se asigna directamente desde el campo Group.GroupName.
`Group.GroupName`	`entity.entity.group.email_addresses`	Se asigna directamente desde el campo Group.GroupName.
`Group.Path`	`entity.entity.group.attribute.labels.value`	La clave, asignada directamente desde el campo Group.Path, está codificada como ruta.
`IsTruncated`	`entity.entity.group.attribute.labels.value`	Se asigna directamente desde el campo IsTruncated convertido en cadena. La clave se ha codificado como is_truncated.
`Marker`	`entity.entity.group.attribute.labels.value`	La clave se asigna directamente desde el campo Marker y se codifica de forma rígida como marcador.
`PasswordLastUsed`	`entity.entity.user.last_login_time`	Se asigna directamente desde el campo PasswordLastUsed y se convierte al formato de marca de tiempo de Chronicle.
`Path`	`entity.entity.user.attribute.labels.value`	Se asigna directamente desde el campo Ruta del tipo de entidad USER. La clave se codifica de forma rígida en la ruta.
`Path`	`entity.entity.resource.attribute.labels.value`	Se asigna directamente desde el campo Ruta del tipo de entidad RESOURCE. La clave se ha codificado como ruta.
`PermissionsBoundary.PermissionsBoundaryArn`	`entity.entity.resource.attribute.labels.value`	Se asigna directamente desde el campo PermissionsBoundary.PermissionsBoundaryArn. La clave se ha codificado de forma rígida como permissions_boundary_arn.
`PermissionsBoundary.PermissionsBoundaryType`	`entity.entity.resource.attribute.labels.value`	Se asigna directamente desde el campo PermissionsBoundary.PermissionsBoundaryType. La clave se ha codificado de forma rígida como permissions_boundary_type.
`RoleID`	`entity.entity.resource.product_object_id`	Se asigna directamente desde el campo RoleID.
`RoleLastUsed.LastUsedDate`	`entity.entity.resource.attribute.labels.value`	Se asigna directamente desde el campo RoleLastUsed.LastUsedDate. La clave se ha codificado de forma rígida como role_last_used_date.
`RoleLastUsed.Region`	`entity.entity.location.name`	Se asigna directamente desde el campo RoleLastUsed.Region.
`RoleName`	`entity.entity.resource.attribute.roles.name`	Se asigna directamente desde el campo RoleName.
`Tags.Key`	`entity.entity.user.attribute.labels.key`	Se usa como clave de las etiquetas de la entidad de usuario.
`Tags.Value`	`entity.entity.user.attribute.labels.value`	Se usa como valor de las etiquetas de la entidad de usuario.
`UserID`	`entity.entity.user.product_object_id`	Se asigna directamente desde el campo UserID.
`UserName`	`entity.entity.user.userid`	Se asigna directamente desde el campo UserName.
`Users.Arn`	`relations.entity.resource.name`	Se asigna directamente desde el campo Users.Arn de la relación de usuario.
`Users.CreateDate`	`relations.entity.user.attribute.creation_time`	Se asigna directamente desde el campo Users.CreateDate de la relación de usuario y se convierte al formato de marca de tiempo de Chronicle.
`Users.PasswordLastUsed`	`relations.entity.user.last_login_time`	Se asigna directamente desde el campo Users.PasswordLastUsed de la relación de usuario y se convierte al formato de marca de tiempo de Chronicle.
`Users.Path`	`relations.entity.user.attribute.labels.value`	Se asigna directamente desde el campo Users.Path de la relación de usuario. La clave se codifica de forma rígida en la ruta.
`Users.PermissionsBoundary.PermissionsBoundaryArn`	`relations.entity.resource.attribute.labels.value`	Se asigna directamente desde el campo Users.PermissionsBoundary.PermissionsBoundaryArn de la relación de usuario. La clave se ha codificado como permissions_boundary_arn.
`Users.PermissionsBoundary.PermissionsBoundaryType`	`relations.entity.resource.attribute.labels.value`	Se asigna directamente desde el campo Users.PermissionsBoundary.PermissionsBoundaryType de la relación de usuario. La clave se ha codificado de forma rígida como permissions_boundary_type.
`Users.UserID`	`relations.entity.user.product_object_id`	Se asigna directamente desde el campo Users.UserID de la relación de usuario.
`Users.UserName`	`relations.entity.user.userid`	Se asigna directamente desde el campo Users.UserName de la relación de usuario.
N/A	`entity.metadata.collected_timestamp`	Se rellena con la marca de tiempo de la ingestión del evento.
N/A	`entity.metadata.vendor_name`	Codificado de forma rígida en AWS.
N/A	`entity.metadata.product_name`	Codificado de forma rígida en la gestión de identidades y accesos de AWS.
N/A	`entity.metadata.entity_type`	Se determina en función de la presencia de campos específicos: USER si existe UserID, RESOURCE si existe RoleID y GROUP si existe Group.GroupName.
N/A	`entity.entity.resource.resource_subtype`	Se asigna el valor User a USER y Role a los tipos de entidad RESOURCE.
N/A	`entity.entity.resource.resource_type`	Se asigna el valor ACCESS_POLICY al tipo de entidad RESOURCE.
N/A	`entity.entity.resource.attribute.cloud.environment`	Codificado como AMAZON_WEB_SERVICES.
N/A	`relations.entity_type`	Codificado como USER para las relaciones de usuario.
N/A	`relations.relationship`	Codificado como MEMBER para las relaciones de grupos de usuarios.
N/A	`relations.direction`	Codificado como UNIDIRECTIONAL.
N/A	`relations.entity.resource.resource_subtype`	Codificado como User para las relaciones de usuario.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.