Conceptos clave para utilizar controles de acceso basados en certificados en AWS - AWS Guía prescriptiva
Privilegio mínimoAutenticación basada en certificadosAnclajes y modelos de confianzaCredenciales de seguridad temporalesPermisos de doble capa en IAMAWS Asistente de credenciales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conceptos clave para utilizar controles de acceso basados en certificados en AWS

Los controles de acceso basados en certificados AWS requieren comprender varios conceptos interdependientes de autenticación y autorización. Por ejemplo, el principio del privilegio mínimo determina el alcance de los permisos que se conceden mediante la autenticación basada en certificados, lo que afecta directamente al diseño de las políticas y las funciones AWS Identity and Access Management (IAM). La autenticación basada en certificados en sí misma se basa en la validación del certificado X.509 con anclajes de confianza configurados, que definen la cadena de confianza criptográfica para la verificación de los certificados. Las credenciales de seguridad temporales generadas mediante este proceso tienen características de ciclo de vida específicas que afectan a la administración de sesiones y a las estrategias de rotación de credenciales. Además, AWS Identity and Access Management Roles Anywhere implementa un modelo de permisos de doble capa en el que tanto las políticas de funciones de IAM como las configuraciones de los perfiles deben autorizar el acceso. Si no se entiende cómo interactúan estos conceptos, las implementaciones pueden provocar errores de autenticación, un acceso con privilegios excesivos o brechas de seguridad en la cadena de validación de los certificados. Estos conceptos constituyen la base técnica necesaria para configurar correctamente las relaciones de confianza, los límites de los permisos y los ciclos de vida de las credenciales en los sistemas de control de acceso basados en certificados. AWS

Privilegio mínimo

El principio de privilegio mínimo es un concepto de seguridad que aconseja conceder el nivel mínimo de acceso (o permisos) necesario para que los usuarios, programas o sistemas realicen sus tareas. La filosofía rectora es simple: cuantos menos permisos tenga una entidad, menor será el riesgo de que se produzcan daños intencionados o accidentales.

En este contexto AWS, este principio es particularmente relevante. AWS proporciona una amplia gama de recursos y servicios, desde máquinas virtuales hasta recursos de almacenamiento. Al crear y administrar la AWS infraestructura, la aplicación del principio de privilegios mínimos garantiza que cada entidad (un usuario, un servicio o una aplicación) solo tenga los permisos necesarios para funcionar correctamente y nada más.

La implementación del mínimo privilegio AWS ofrece las siguientes ventajas:

  • Seguridad: al limitar el acceso, se reduce el impacto potencial de una violación de la seguridad. Si un usuario o servicio tiene permisos mínimos, las posibilidades de que se produzcan daños se reducen considerablemente.

  • Cumplimiento: muchos marcos regulatorios requieren controles de acceso estrictos. Cumplir con el principio de privilegio mínimo le ayuda a cumplir con estos requisitos de conformidad.

  • Simplicidad operativa: la gestión de los permisos puede resultar compleja. La aplicación de los privilegios mínimos permite que las configuraciones sean lo más sencillas y fáciles de administrar posible.

Autenticación basada en certificados

La autenticación basada en certificados utiliza certificados digitales para verificar la identidad de un dispositivo, servicio o aplicación. Los certificados X.509 contienen atributos que identifican a la entidad y están firmados por una entidad de certificación de confianza. Este método de autenticación elimina la necesidad de credenciales estáticas y proporciona una forma criptográficamente segura de establecer la confianza.

Mientras que la autenticación basada en la identidad se basa en credenciales que están directamente asociadas a un rol o usuario de IAM, la autenticación basada en certificados utiliza certificados X.509 para establecer la identidad. La autenticación basada en certificados ofrece ventajas en los entornos híbridos, ya que proporciona una postura de seguridad más sólida, una rotación automática de credenciales y la capacidad de codificar atributos que se pueden utilizar para un control de acceso detallado.

Anclajes y modelos de confianza

La confianza entre la entidad emisora de certificados (CA) IAM Roles Anywhere y la entidad emisora de certificados se establece mediante la creación de un ancla de confianza. Un ancla de confianza es una referencia a una fuente de CA externa AWS Private CAo a una fuente externa. Sus cargas de trabajo ajenas a la AWS autenticación con el ancla de confianza utilizan certificados emitidos por la CA de confianza a cambio de credenciales temporales AWS . Puede haber varios anclajes de confianza en uno. Cuenta de AWS Para obtener más información, consulte el modelo de IAM Roles Anywhere confianza. El modelo de confianza define cómo se validan los certificados y qué atributos de los certificados son necesarios para una autenticación correcta.

Credenciales de seguridad temporales

Las credenciales de seguridad temporales proporcionan un acceso a AWS los recursos por tiempo limitado, que suele durar desde unos minutos hasta varias horas. A diferencia de las claves de acceso a largo plazo, estas credenciales caducan automáticamente. Esto reduce considerablemente el riesgo de que las credenciales se vean comprometidas y simplifica la administración del acceso en los sistemas distribuidos. Para obtener más información sobre las credenciales temporales, consulte la sección Exigir a las cargas de trabajo que usen credenciales temporales con funciones de IAM para acceder a las AWS mejores prácticas en la documentación de IAM.

Permisos de doble capa en IAM

IAM Roles Anywhere implementa un modelo de permisos de doble capa mediante la combinación de funciones y perfiles de IAM. En un perfil, puede definir políticas de sesión de IAM que limiten los permisos creados para una sesión. Un perfil puede tener muchas funciones de IAM, pero solo una política de sesión. El modelo de permisos de doble capa proporciona una seguridad mejorada al requerir que se permitan explícitamente los permisos en ambas capas antes de conceder el acceso. Las dos capas son las siguientes:

  • La capa de roles de IAM define lo siguiente:

    • Políticas de confianza que determinan qué entidad puede asumir la función

    • Políticas de permisos que especifican a qué AWS recursos puede acceder el rol y qué acciones puede realizar

    • Elementos de condición que pueden restringir aún más el acceso en función de criterios específicos

  • La capa de IAM Roles Anywhere perfiles hace lo siguiente:

    • Define las funciones de IAM que se pueden asumir IAM Roles Anywhere

    • Proporciona controles adicionales para la asunción de funciones

    • Actúa como un filtro de permisos, incluso si la propia función de IAM permite un acceso más amplio

Por ejemplo, si un rol de IAM permite el acceso a Amazon Simple Storage Service (Amazon S3) y Amazon DynamoDB, pero el perfil solo permite el acceso a Amazon S3, la aplicación solo podrá acceder a los recursos de Amazon S3. Este enfoque de doble capa aplica el principio del privilegio mínimo al requerir un permiso explícito en ambas capas.

AWS Asistente de credenciales

Al usar Credential Helper (GitHub) IAM Roles Anywhere, usted define mediante AWS Command Line Interface (AWS CLI) qué anclaje de confianza, perfil y función desea utilizar al permitir que la aplicación acceda a los recursos. AWS El siguiente es un ejemplo de llamada que usa la herramienta AWS Credential Helper:

./aws_signing_helper credential-process 
   \--certificate <Path to certificate>
   \--private-key <Path to private key> 
   \--trust-anchor-arn <Trust anchor ARN> 
   \--profile-arn <Profile 1 ARN>
   \--role-arn <Role 1 ARN>

Esta herramienta es compatible con la credential_process función disponible en todo el idioma. SDKs Cuando se utilizan con un AWS SDK, estas credenciales se actualizan automáticamente antes de que caduquen, por lo que no es necesaria ninguna implementación adicional para la renovación de las credenciales. Credential Helper gestiona el proceso de crear una firma con el certificado y llamar al punto final para obtener las credenciales de la sesión. A continuación, devuelve las credenciales de seguridad temporales al proceso de llamada en un formato JSON estándar.

Para obtener más información, consulte Obtener credenciales de seguridad temporales de IAM Roles Anywhere.