Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Tema 4: administración de identidades
**Estrategias de Essential Eight que se abarcan**
Restricción de los privilegios administrativos, autenticación multifactor
Una administración sólida de la identidad y los permisos es un aspecto fundamental de la administración de la seguridad en la nube. Las prácticas de identidad sólidas equilibran el acceso necesario y el privilegio mínimo. Esto ayuda a los equipos de desarrollo a avanzar de manera rápida sin comprometer la seguridad.
Utilice la federación de identidades para centralizar la administración de las identidades. De este modo se facilita la administración del acceso en varias aplicaciones y servicios porque administra el acceso desde un único lugar. También le será útil para implementar permisos temporales y autenticación multifactor (MFA).
Conceda a los usuarios solo los permisos que necesitan para hacer sus tareas. AWS Identity and Access Management Access Analyzer puede validar las políticas y verificar el acceso público y el acceso entre cuentas. Características como las políticas de control de AWS Organizations servicios (SCPs), las condiciones de las políticas de IAM, los límites de los permisos de IAM y los conjuntos de AWS IAM Identity Center permisos pueden ayudarle a configurar un control de [acceso detallado (FGAC](apg-gloss.md#glossary-fgac)).
Al llevar a cabo cualquier tipo de autenticación, es mejor utilizar credenciales temporales para reducir o eliminar los riesgos. Por ejemplo, que las credenciales se divulguen, compartan o roben de manera inadvertida. Utilice roles de IAM en lugar de usuarios de IAM.
Utilice mecanismos de inicio de sesión sólidos, como MFA, para mitigar el riesgo en caso de que las credenciales de inicio de sesión se hayan divulgado de manera inadvertida o sean fáciles de adivinar. Exija MFA para el usuario raíz. También puede necesitarla a nivel de federación. Si el uso de usuarios de IAM es inevitable, aplique MFA.
Para supervisar el cumplimiento y generar informes al respecto, debe dedicar esfuerzos continuos a la reducción de permisos, la supervisión de los resultados del Analizador de acceso de IAM y la eliminación de recursos de IAM que no se utilicen. Utilice AWS Config reglas para asegurarse de que se apliquen mecanismos de inicio de sesión sólidos, que las credenciales sean efímeras y que se utilicen los recursos de IAM.
## Mejores prácticas relacionadas en el AWS Well-Architected Framework
+ [SEC02- BP01 Utilice mecanismos de inicio de sesión sólidos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
+ [SEC02- BP02 Usa credenciales temporales](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02- BP03 Almacene y use los secretos de forma segura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02- BP04 Confíe en un proveedor de identidad centralizado](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC02- BP05 Audite y modifique las credenciales periódicamente](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
+ [SEC02- BP06 Emplee grupos y atributos de usuarios](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03- BP01 Definir los requisitos de acceso](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
+ [SEC03- BP02 Otorgue el acceso con privilegios mínimos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03- BP03 Establecer un proceso de acceso de emergencia](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_emergency_process.html)
+ [SEC03- BP04 Reduzca los permisos de forma continua](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_continuous_reduction.html)
+ [SEC03- BP05 Defina barreras de permisos para su organización](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03- BP06 Gestione el acceso en función del ciclo de vida](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03- BP07 Analice el acceso público y entre cuentas](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC03- BP08 Comparta los recursos de forma segura dentro de su organización](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)
## Implementación de este tema
### Implementación de la federación de identidades
+ [Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder a AWS mediante credenciales temporales](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [Implemente un acceso elevado temporal a los entornos de AWS](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
### Aplicación de permisos de privilegio mínimo
+ [Proteja sus credenciales de usuario raíz y no las utilice para las tareas diarias](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
+ [Utilice IAM Access Analyzer para generar políticas de privilegios mínimos en función de la actividad de acceso](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
+ [Verifique el acceso público y multicuenta a los recursos con IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
+ [Utilice IAM Access Analyzer para validar las políticas de IAM con objeto de garantizar la seguridad y funcionalidad de los permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
+ [Establezca barreras de protección de permisos en varias cuentas](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
+ [Utilice los límites de permisos para establecer los permisos máximos que puede conceder una política basada en identidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Utilice las condiciones de las políticas de IAM para restringir aún más el acceso](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
+ [Revise y elimine periódicamente los usuarios, funciones, permisos, políticas y credenciales que no utilice](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
+ [Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [Utilice la característica de conjuntos de permisos de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
### Rotación de las credenciales
+ [Exija que las cargas de trabajo utilicen las funciones de IAM para acceder AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Automatice la eliminación de los roles de IAM no utilizados](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
+ [Cambie las claves de acceso con regularidad para los casos de uso que requieran credenciales a largo plazo](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
### Aplicación de la MFA
+ [Exija la MFA para el usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [Exija la MFA a través de IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
+ [Considere la posibilidad de exigir la MFA para las acciones de API específicas del servicio](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)
## Supervisión de este tema
### Supervisión del acceso con privilegio mínimo
+ [Envíe las conclusiones del IAM Access Analyzer a AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)
+ [Considere la posibilidad de configurar las notificaciones para los resultados críticos de IAM Identity Center](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html)
+ [Revise periódicamente los informes de credenciales de su Cuentas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
### Implemente las siguientes reglas AWS Config
+ `ACCESS_KEYS_ROTATED`
+ `IAM_ROOT_ACCESS_KEY_CHECK`
+ `IAM_USER_MFA_ENABLED`
+ `IAM_USER_UNUSED_CREDENTIALS_CHECK`
+ `IAM_PASSWORD_POLICY`
+ `ROOT_ACCOUNT_HARDWARE_MFA_ENABLED`