Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Tema 4: administración de identidades
Estrategias de Essential Eight que se abarcan
Restricción de los privilegios administrativos, autenticación multifactor
Una administración sólida de la identidad y los permisos es un aspecto fundamental de la administración de la seguridad en la nube. Las prácticas de identidad sólidas equilibran el acceso necesario y el privilegio mínimo. Esto ayuda a los equipos de desarrollo a avanzar de manera rápida sin comprometer la seguridad.
Utilice la federación de identidades para centralizar la administración de las identidades. De este modo se facilita la administración del acceso en varias aplicaciones y servicios porque administra el acceso desde un único lugar. También le será útil para implementar permisos temporales y autenticación multifactor (MFA).
Conceda a los usuarios solo los permisos que necesitan para hacer sus tareas. AWS Identity and Access Management Access Analyzer puede validar las políticas y verificar el acceso público y el acceso entre cuentas. Características como las políticas de control de AWS Organizations servicios (SCPs), las condiciones de las políticas de IAM, los límites de los permisos de IAM y los conjuntos de AWS IAM Identity Center permisos pueden ayudarle a configurar un control de acceso detallado (FGAC).
Al llevar a cabo cualquier tipo de autenticación, es mejor utilizar credenciales temporales para reducir o eliminar los riesgos. Por ejemplo, que las credenciales se divulguen, compartan o roben de manera inadvertida. Utilice roles de IAM en lugar de usuarios de IAM.
Utilice mecanismos de inicio de sesión sólidos, como MFA, para mitigar el riesgo en caso de que las credenciales de inicio de sesión se hayan divulgado de manera inadvertida o sean fáciles de adivinar. Exija MFA para el usuario raíz. También puede necesitarla a nivel de federación. Si el uso de usuarios de IAM es inevitable, aplique MFA.
Para supervisar el cumplimiento y generar informes al respecto, debe dedicar esfuerzos continuos a la reducción de permisos, la supervisión de los resultados del Analizador de acceso de IAM y la eliminación de recursos de IAM que no se utilicen. Utilice AWS Config reglas para asegurarse de que se apliquen mecanismos de inicio de sesión sólidos, que las credenciales sean efímeras y que se utilicen los recursos de IAM.
Mejores prácticas relacionadas en el AWS Well-Architected Framework
Implementación de este tema
Implementación de la federación de identidades
Aplicación de permisos de privilegio mínimo
-
Proteja sus credenciales de usuario raíz y no las utilice para las tareas diarias
-
Verifique el acceso público y multicuenta a los recursos con IAM Access Analyzer
-
Establezca barreras de protección de permisos en varias cuentas
-
Utilice las condiciones de las políticas de IAM para restringir aún más el acceso
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos
-
Utilice la característica de conjuntos de permisos de IAM Identity Center
Rotación de las credenciales
Aplicación de la MFA
Supervisión de este tema
Supervisión del acceso con privilegio mínimo
Implemente las siguientes reglas AWS Config
-
ACCESS_KEYS_ROTATED -
IAM_ROOT_ACCESS_KEY_CHECK -
IAM_USER_MFA_ENABLED -
IAM_USER_UNUSED_CREDENTIALS_CHECK -
IAM_PASSWORD_POLICY -
ROOT_ACCOUNT_HARDWARE_MFA_ENABLED
