Prácticas recomendadas generales - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas generales

Aviso

A partir del 30 de abril de 2024, VMware Cloud on AWS ya no será revendido por AWS sus socios de canal. El servicio seguirá estando disponible a través de Broadcom. Le recomendamos que se ponga en contacto con su AWS representante para obtener más información.

importante

Muchos de los VMware servicios descritos en esta guía se utilizan en otras VMware soluciones locales o en la nube. Las recomendaciones y las prácticas recomendadas de esta guía son específicas de VMware Cloud on AWS. Es posible que estas recomendaciones no se apliquen a otros entornos.

Ten en cuenta las siguientes AWS recomendaciones para gestionar la identidad y el acceso a tu infraestructura de VMware nube:

  • Aplique una política de privilegio mínimo. Utilice el control de acceso basado en roles (RBAC) para conceder los permisos mínimos y el acceso necesario a fin de que usuarios puedan realizar su función.

  • Cuando sea posible, conceda permisos a grupos en lugar de a usuarios individuales.

  • Evite configurar usuarios locales. Autentique a los usuarios con un proveedor de identidad federado externo.

  • Configuración de autenticación multifactor para todos usuarios.

  • Su política de contraseñas debe incluir los requisitos de seguridad y rotación de las contraseñas.

  • Documente un procedimiento innovador para tener el control administrativo total de la VMware organización y los servicios relacionados. El procedimiento break-glass, que debe su nombre a romper el cristal para activar una alarma de incendio, se refiere a un medio por el que una persona puede obtener rápidamente acceso administrativo en circunstancias excepcionales, mediante un proceso aprobado y auditado.

  • Si tiene centros de datos en las instalaciones o varias instancias de vCenter Server, utilice Hybrid Linked Mode para conectar la instancia de vCenter Server en la nube con el dominio de vCenter Single Sign-On en las instalaciones. Esto lo ayuda a administrar los recursos en las instalaciones y en la nube desde una única interfaz de vSphere Client.

  • Cuando sea posible, configure los puntos de conexión de administración, como vCenter Server, HCX Cloud Manager y NSX Manager, para que solo se pueda acceder a ellos desde las redes internas, en lugar de desde la Internet pública.

  • No utilice credenciales locales, como la cuenta cloudadmin, con fines administrativos. Reserve estas cuentas para utilizarlas en su procedimiento innovador (break-glass). Las acciones realizadas con cuentas de usuario administrativas locales no se pueden atribuir a una persona específica, por lo que estas cuentas podrían usarse para realizar cambios sin responsabilidad.

  • Cambie las contraseñas de las cuentas locales, como las de los usuarios raíz y administrativos, por valores seguros y almacene estas credenciales de forma segura en un almacén de contraseñas auditado. Establezca un proceso de aprobación para conceder acceso a estas contraseñas.

  • Si las credenciales locales se conservarán durante períodos prolongados, por ejemplo, durante varios meses o más, establezca un proceso para rotarlas (por ejemplo, si utiliza VMware HCX para ampliar una red).

Estas recomendaciones se aplican a todas las configuraciones de VMware servicio de VMware Cloud on AWS. Más adelante en esta guía se brindan recomendaciones adicionales para cada servicio.