Sin credenciales permanentes
Usamos AWS STS AssumeRole con External ID. No guardamos ninguna clave de acceso ni secreto. El rol en tu cuenta es la única credencial, y tú controlas su existencia.
Solo lectura, sin excepciones
Nuestro rol IAM usa permisos mínimos explícitos: solo las acciones List*, Get* y Describe* que necesitamos. Ninguna acción de escritura, borrado o modificación.
Cifrado en tránsito
Toda comunicación entre AgentsBlitz y AWS usa TLS 1.3. Los datos analizados se procesan en memoria para generar el informe y no se almacenan permanentemente en nuestros sistemas.
Revocación inmediata
Desconectar tu cuenta desde el panel elimina el ARN de nuestro sistema al instante. Para garantía total, basta con eliminar el rol IAM desde tu consola AWS.
A diferencia de políticas genéricas como ReadOnlyAccess, nuestro rol usa permisos explícitos y limitados al mínimo necesario para cada funcionalidad.
| Servicio AWS | Acciones permitidas | Para qué se usa | Escribe |
|---|---|---|---|
| Cost Explorer (ce:*) | Get*, Describe*, List* | Análisis de costes y ahorro | No |
| EC2 | Describe* | Instancias, SGs, VPCs | No |
| S3 | List*, GetBucket* | Buckets públicos, cifrado | No |
| IAM | List*, Get* | MFA, claves viejas, roles | No |
| CloudTrail | Describe*, GetTrailStatus | Auditoría activa | No |
| GuardDuty | ListDetectors, GetFindings | Amenazas activas | No |
| RDS | Describe* | Bases de datos públicas | No |
| CloudWatch / Logs | Get*, List*, Describe* | Métricas de rendimiento | No |
| Organizations | Describe*, List* | Multi-cuenta | No |
¿Tienes preguntas sobre seguridad?
Nuestro equipo está disponible para responder cualquier duda, enviar el DPA o hacer una revisión técnica del modelo de acceso.
Contactar al equipo de seguridad →