Reforzar la seguridad IAM Roles Anywhere mediante el uso de controles de acceso basados en certificados - AWS Guía prescriptiva
Destinatarios previstosObjetivos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Reforzar la seguridad IAM Roles Anywhere mediante el uso de controles de acceso basados en certificados

Alberto Sagrado Amador, Amazon Web Services

Julio de 2025 (historia del documento)

A medida que las organizaciones amplían su presencia en la nube y adoptan la automatización, cada vez es más importante gestionar el acceso seguro para las identidades no humanas, como las aplicaciones, los servidores y los contenedores. Los enfoques tradicionales utilizan credenciales a largo plazo o secretos codificados, pero estos enfoques pueden generar riesgos de seguridad y sobrecargas operativas. AWS Identity and Access Management Roles Anywhereaborda estos desafíos al permitir que las cargas de trabajo externas accedan Nube de AWS a los AWS recursos de forma segura mediante certificados X.509 (Wikipedia) en lugar de credenciales de larga duración.

Por lo general, las organizaciones se enfrentan a la proliferación de claves de acceso, a la compleja rotación de credenciales y a la limitada capacidad de aplicar controles de acceso detallados. Los marcos de seguridad modernos hacen hincapié en los principios de confianza cero, el just-in-time acceso y el principio del mínimo privilegio, todo lo cual se puede lograr mediante la implementación adecuada de la autenticación basada en certificados.

Esta guía muestra cómo mejorar la seguridad IAM Roles Anywhere mediante la gestión eficaz de los atributos de los certificados y las relaciones de confianza entre los roles AWS Identity and Access Management (IAM). Utiliza un ejemplo práctico de arquitectura para demostrar cómo implementar controles de acceso detallados y hacer cumplir el principio de privilegios mínimos en las sesiones. IAM Roles Anywhere

La arquitectura usa IAM Roles Anywhere y AWS Private Certificate Authority ().AWS Private CA AWS Private CA actúa como un ancla de confianza y AWS Certificate Manager (ACM) administra los certificados. Esta base refleja las configuraciones de seguridad del mundo real y sus implicaciones.

Sin las configuraciones de políticas adecuadas para las funciones de IAM, cualquier certificado emitido por AWS Private CA podría utilizarse para asumir funciones. Esto puede crear importantes vulnerabilidades de seguridad, como la asunción no autorizada de funciones, las filtraciones de datos y la puesta en peligro de las credenciales. Esta guía muestra cómo ayudar a mitigar estos riesgos mediante la configuración adecuada de las políticas y la administración de los atributos de los certificados.

En el siguiente diagrama se muestra el flujo de trabajo en el que una aplicación puede solicitar acceso IAM Roles Anywhere y, después, realizar las acciones permitidas en el destino Cuenta de AWS.

Uso de la autenticación basada en certificados para obtener credenciales de acceso temporales a los AWS recursos.

En el diagrama, se muestra el siguiente flujo de trabajo:

  1. La aplicación solicita credenciales de seguridad temporales IAM Roles Anywhere y proporciona su certificado de autenticación.

  2. IAM Roles Anywhere utiliza una relación de confianza para autenticar la aplicación. AWS Private CA

  3. IAM Roles Anywhere genera un archivo JSON que contiene las credenciales de seguridad temporales y lo devuelve a la aplicación.

  4. Al utilizar las credenciales de seguridad temporales, la aplicación asume una función de IAM en el Cuenta de AWS.

La aplicación realiza las acciones permitidas por las políticas asociadas a la función de IAM y en la cuenta. Por ejemplo, podría acceder a un bucket de Amazon Simple Storage Service (Amazon S3).

Destinatarios previstos

Esta guía está dirigida a arquitectos de nube, ingenieros de seguridad e DevOps ingenieros que estén implementando controles de acceso para entornos de nube híbrida o automatizando la administración de permisos para identidades no humanas. Esta guía también puede ayudarle a cumplir con las normativas o las mejores prácticas de seguridad. Para comprender los conceptos y las recomendaciones de esta guía, debe familiarizarse con lo siguiente:

  • Conceptos básicos de la IAM

  • Infraestructura de clave pública (PKI) y administración de certificados X.509

  • Principios de seguridad Zero Trust y acceso con privilegios mínimos

  • Servicios de AWS para la autenticación basada en certificados, como y IAM Roles Anywhere AWS Private CA

Objetivos

El uso IAM Roles Anywhere de certificados X.509 para la autenticación puede ofrecer los siguientes resultados empresariales clave:

  • Seguridad mejorada: elimina los riesgos asociados con el uso de credenciales a largo plazo

  • Reducción de los gastos operativos: automatiza la gestión y la rotación de credenciales

  • Mejora del cumplimiento: proporciona registros de auditoría detallados y refuerza el acceso con los privilegios mínimos

  • Administración escalable: centraliza el control de acceso en todos los entornos híbridos

  • Rentabilidad: reduce los costos asociados con los esfuerzos de respuesta a los incidentes de seguridad y la complejidad de la administración