# Limitaciones en un pentest dentro de AWS

Las limitaciones y posibilidades de realizar un pentest dentro de AWS se definen claramente bajo las políticas de AWS. Aunque AWS permite a los usuarios llevar a cabo pruebas de penetración en una gama de sus servicios gestionados por los propios usuarios, existen restricciones importantes que se deben tener en cuenta para evitar violaciones de la política de AWS o impactos involuntarios en los recursos compartidos.

## <mark style="color:orange;">Pruebas de Penetración Permitidas en AWS</mark>

AWS autoriza las pruebas de seguridad en varios servicios operados directamente por el usuario, sin necesidad de un permiso previo de AWS para ciertos servicios desde el 2 de junio de 2022. Esto incluye:

* <mark style="color:orange;">**APIs**</mark><mark style="color:orange;">:</mark> Pruebas dirigidas a las interfaces de programación de aplicaciones personalizadas o configuradas por el usuario.
* <mark style="color:orange;">**Aplicaciones Web**</mark><mark style="color:orange;">:</mark> Evaluaciones de seguridad en aplicaciones web desplegadas en la infraestructura de AWS.
* <mark style="color:orange;">**Máquinas Virtuales EC2**</mark><mark style="color:orange;">:</mark> Pentests en instancias EC2 que el usuario haya desplegado, enfocándose en sus configuraciones y el software corriendo dentro de ellas.
* <mark style="color:orange;">**Funciones Lambda**</mark><mark style="color:orange;">:</mark> Pruebas dirigidas a las funciones serverless desplegadas por el usuario, examinando su implementación y ejecución de lógica.
* <mark style="color:orange;">**Configuraciones de Buckets S3**</mark><mark style="color:orange;">:</mark> Evaluación de la seguridad en la configuración de los buckets S3, incluyendo permisos y políticas de acceso.

Es fundamental asegurarse de que estas pruebas no infrinjan las políticas de AWS y no afecten los servicios compartidos o la infraestructura subyacente.

## <mark style="color:orange;">Limitaciones en las Pruebas de Penetración en AWS</mark>

Existen claras restricciones en lo que respecta a los componentes de la infraestructura de AWS que no pueden ser objeto de pruebas de penetración, tales como:

* <mark style="color:orange;">**Servicios y Servidores Gestionados por AWS**</mark><mark style="color:orange;">:</mark> Los componentes que son parte del modelo SaaS o cualquier servicio gestionado por AWS donde el usuario no tiene control sobre el entorno operativo.
* <mark style="color:orange;">**Hardware Físico e Infraestructura**</mark><mark style="color:orange;">:</mark> Cualquier elemento de la infraestructura física subyacente de AWS, incluyendo servidores, redes o dispositivos de almacenamiento que AWS gestiona directamente.
* <mark style="color:orange;">**Recursos EC2 de Otros Usuarios**</mark><mark style="color:orange;">:</mark> Instancias EC2 o recursos pertenecientes a otros clientes de AWS no deben ser objeto de pruebas, respetando la privacidad y seguridad de terceros.

Te recomendamos la siguiente lectura:

{% embed url="<https://aws.amazon.com/es/security/penetration-testing/>" %}