AWS Organizations Se utiliza por motivos de seguridad - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Organizations Se utiliza por motivos de seguridad

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

AWS Organizationsle ayuda a administrar y gobernar su entorno de forma centralizada a medida que crece y escala sus AWS recursos. Al AWS Organizations utilizarlos, puede crear nuevos, asignar recursos Cuentas de AWS, agrupar cuentas para organizar sus cargas de trabajo mediante programación y aplicar políticas a las cuentas o grupos de cuentas para su control. Una AWS organización consolida las tuyas Cuentas de AWS para que puedas administrarlas como una sola unidad. Tiene una cuenta de administración y cero o más cuentas de miembros. La mayoría de las cargas de trabajo residen en las cuentas de los miembros, a excepción de algunos procesos gestionados de forma centralizada que deben residir en la cuenta de administración o en cuentas asignadas como administradores delegados, por ejemplo. Servicios de AWS Puede proporcionar herramientas y acceso desde una ubicación central para que su equipo de seguridad gestione las necesidades de seguridad en nombre de una AWS organización. Puede reducir la duplicación de recursos al compartir los recursos críticos dentro de su AWS organización. Puede agrupar las cuentas en unidades AWS organizativas (OUs), que pueden representar diferentes entornos en función de los requisitos y el propósito de la carga de trabajo. AWS Organizations también proporciona varias políticas que le permiten aplicar de forma centralizada controles de seguridad adicionales a todas las cuentas de los miembros de sus organizaciones. Esta sección se centra en las políticas de control de servicios (SCPs), las políticas de control de recursos (RCPs) y las políticas declarativas.

Con AWS Organizations, puede usar SCPsy aplicar barreras de permisos RCPsa nivel de AWS organización, unidad organizativa o cuenta. SCPs son barreras que se aplican a los directores de la cuenta de una organización, con la excepción de la cuenta de administración (que es una de las razones para no ejecutar cargas de trabajo en esta cuenta). Al conectar un SCP a una OU, el SCP lo heredan el SCP y las cuentas incluidas en esa OU. OUs SCPs no conceda ningún permiso. En su lugar, especifican los permisos máximos disponibles para los directores de una AWS organización, unidad organizativa o cuenta. Aún así, debe adjuntar políticas basadas en la identidad o en los recursos a los directores o recursos de su empresa para Cuentas de AWS poder concederles permisos. Por ejemplo, si un SCP deniega el acceso a todo Amazon S3, el principal afectado por el SCP no tendrá acceso a Amazon S3 aunque se le conceda el acceso de forma explícita a través de una política de IAM. Para obtener más información sobre cómo se evalúan las políticas de SCPs IAM, su función y cómo se concede o deniega el acceso en última instancia, consulte la lógica de evaluación de políticas en la documentación de IAM.

RCPs son barreras que se aplican a los recursos de las cuentas de una organización, independientemente de si los recursos pertenecen a la misma organización. Por ejemplo SCPs, RCPs no afectan a los recursos de la cuenta de administración ni conceden ningún permiso. Al adjuntar un RCP a una OU, el RCP lo hereda el RCP OUs y las cuentas de la OU lo heredan. RCPs proporcionan un control central sobre los permisos máximos disponibles para los recursos de su organización y, actualmente, admiten un subconjunto de. Servicios de AWS Cuando diseñe SCPs para usted OUs, le recomendamos que evalúe los cambios mediante el simulador de políticas de IAM. También deberías revisar los datos del servicio a los que se accedió por última vez en IAM y utilizarlos AWS CloudTrail para registrar el uso del servicio a nivel de la API a fin de comprender el impacto potencial de los cambios en el SCP.

SCPs y RCPs son controles independientes. Puede optar por habilitar solo SCPs o RCPs usar ambos tipos de políticas juntas en función de los controles de acceso que desee aplicar. Por ejemplo, si quiere impedir que los directores de su organización accedan a recursos ajenos a ella, aplique este control mediante SCPs. Si desea restringir o impedir que las identidades externas accedan a sus recursos, aplique este control mediante RCPs. Para obtener más información y casos de uso de RCPs y SCPs, consulte Uso SCPs y RCPs en la AWS Organizations documentación.

Puede utilizar políticas AWS Organizations declarativas para declarar y aplicar de forma centralizada la configuración que desee para una determinada escala Servicio de AWS en toda la organización. Por ejemplo, puede bloquear el acceso público a Internet a los recursos de Amazon VPC en su organización. A diferencia de las políticas de autorización, como SCPs y RCPs, las políticas declarativas se aplican en el plano de control de un AWS servicio. Las políticas de autorización regulan el acceso al servicio APIs, mientras que las políticas declarativas se aplican directamente a nivel de servicio para garantizar una intención duradera. Estas políticas ayudan a garantizar que la configuración básica de an Servicio de AWS se mantenga siempre, incluso cuando el servicio introduzca nuevas funciones o APIs. La configuración básica también se mantiene cuando se agregan nuevas cuentas a una organización o cuando se crean nuevas entidades principales y recursos. Las políticas declarativas se pueden aplicar a toda la organización o a cuentas específicas OUs .

Cada uno Cuenta de AWS tiene un único usuario raíz que, de forma predeterminada, tiene todos los permisos para acceder a todos AWS los recursos.  Como práctica recomendada de seguridad, te recomendamos que no utilices el usuario root, excepto en algunas tareas que requieren explícitamente un usuario root. Si gestionas varios de ellos AWS Organizations, puedes deshabilitar de forma centralizada el inicio de sesión root y, Cuentas de AWS a continuación, realizar acciones con privilegios root en nombre de todas las cuentas de los miembros. Tras gestionar de forma centralizada el acceso raíz de las cuentas de los miembros, puede eliminar la contraseña del usuario raíz, las claves de acceso y los certificados de firma, y desactivar la autenticación multifactor (MFA) para las cuentas de los miembros. Las cuentas nuevas que se crean mediante un acceso raíz gestionado de forma centralizada no tienen credenciales de usuario raíz de forma predeterminada. Las cuentas de los miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz.

AWS Control Towerofrece una forma simplificada de configurar y gestionar varias cuentas. Automatiza la configuración de las cuentas en su AWS organización, automatiza el aprovisionamiento, aplica controles (que incluyen controles preventivos y de detección) y le proporciona un panel de control para mayor visibilidad. Hay una política de administración de IAM adicional, un límite de permisos, que se vincula a entidades de IAM específicas (usuarios o funciones) y establece los permisos máximos que una política basada en la identidad puede conceder a una entidad principal de IAM.

AWS Organizations le ayuda a configurarlos para que se apliquen a todas sus Servicios de AWScuentas. Por ejemplo, puede configurar el registro central de todas las acciones realizadas en su AWS organización utilizando CloudTrail el registro y evitar que las cuentas de los miembros lo deshabiliten. También puede agregar de forma centralizada los datos de las reglas que haya definido mediante el uso AWS Config, de modo que pueda auditar sus cargas de trabajo para comprobar su conformidad y reaccionar rápidamente ante los cambios. Puede utilizarlos AWS CloudFormation StackSetspara gestionar de forma centralizada las CloudFormation pilas en todas las cuentas y OUs en su AWS organización, de forma que pueda aprovisionar automáticamente una nueva cuenta que cumpla con sus requisitos de seguridad.

La configuración predeterminada AWS Organizations admite el uso de listas de denegación SCPs como listas de rechazo. Al utilizar una estrategia de lista de rechazados, los administradores de las cuentas de los miembros pueden delegar todos los servicios y acciones hasta que se cree y adjunte un SCP que deniegue un servicio o conjunto de acciones específicos. Las declaraciones de rechazo requieren menos mantenimiento que una lista de permitidos, ya que no es necesario actualizarlas cuando se AWS añaden nuevos servicios. Las sentencias Deny suelen tener una longitud de caracteres más corta, por lo que es más fácil mantenerlas dentro del tamaño máximo de SCPs. En una declaración en la que el Effect elemento tenga un valor deDeny, también puede restringir el acceso a recursos específicos o definir las condiciones para cuando SCPs estén en vigor. Por el contrario, una Allow declaración de un SCP se aplica a todos los recursos ("*") y no puede restringirse mediante condiciones. Para obtener más información y ejemplos, consulte Estrategias de uso SCPs en la AWS Organizations documentación.

Consideraciones sobre el diseño

  • Como alternativa, para usarlo SCPs como lista de permitidos, debe reemplazar el FullAWSAccess SCP administrado por AWS por un SCP que permita explícitamente solo los servicios y acciones que desee permitir. Para habilitar un permiso para una cuenta específica, todos los SCP (desde la raíz hasta cada unidad organizativa en la ruta directa a la cuenta e incluso los adjuntos a la propia cuenta) deben permitir ese permiso. Este modelo es de naturaleza más restrictiva y podría ser adecuado para cargas de trabajo delicadas y altamente reguladas. Este enfoque requiere que permita de forma explícita todos los servicios o acciones de IAM que se interpongan en el trayecto desde la unidad organizativa Cuenta de AWS hasta la unidad organizativa.

  • Lo ideal sería utilizar una combinación de estrategias de listas de rechazos y listas de permitidos. Utilice la lista de permitidos para definir la lista de Servicios de AWS permitidos que se pueden utilizar en una AWS organización y adjunte este SCP a la raíz de su AWS organización. Si su entorno de desarrollo permite un conjunto de servicios diferente, adjuntará el correspondiente SCPs a cada unidad organizativa. A continuación, puede utilizar la lista de denegaciones para definir las barreras empresariales denegando de forma explícita determinadas acciones de IAM.

  • RCPs se aplican a los recursos de un subconjunto de. Servicios de AWS Para obtener más información, consulte la lista de Servicios de AWS ese soporte RCPs en la AWS Organizations documentación. La configuración predeterminada de las listas de rechazo AWS Organizations admite el uso RCPs de listas de rechazo. Al activarla RCPs en su organización, una política AWS gestionada denominada RCPFullAWSAccess se adjunta automáticamente a la raíz de la organización, a todas las unidades organizativas y a todas las cuentas de la organización. No se puede desvincular esta política. Este RCP predeterminado permite que el acceso a todos los principios y acciones pase por una evaluación del RCP. Esto significa que, hasta que comience a crear y adjuntar RCPs, todos sus permisos de IAM actuales seguirán funcionando igual que antes. Esta política AWS gestionada no concede el acceso. A continuación, puede crear una nueva RCPs lista de sentencias de denegación para bloquear el acceso a los recursos de su organización.