Infrastructure OU: cuenta de servicios compartidos - AWS Guía prescriptiva
AWS Systems ManagerAWS Managed Microsoft ADIAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Infrastructure OU: cuenta de servicios compartidos

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

El siguiente diagrama ilustra los servicios AWS de seguridad que están configurados en la cuenta de Shared Services.

Servicios de seguridad para la cuenta de Shared Services.

La cuenta de servicios compartidos forma parte de la OU de infraestructura y su propósito es respaldar los servicios que utilizan varias aplicaciones y equipos para ofrecer sus resultados. Por ejemplo, los servicios de directorio (Active Directory), los servicios de mensajería y los servicios de metadatos pertenecen a esta categoría. La AWS SRA destaca los servicios compartidos que admiten los controles de seguridad. Si bien las cuentas de red también forman parte de la unidad organizativa de infraestructura, se eliminan de la cuenta de servicios compartidos para facilitar la separación de funciones. Los equipos que administrarán estos servicios no necesitan permisos ni acceso a las cuentas de la red.

AWS Systems Manager

AWS Systems Manager(que también se incluye en la cuenta de administración de la organización y en la cuenta de la aplicación) proporciona un conjunto de funciones que permiten la visibilidad y el control de sus AWS recursos. Una de estas capacidades, Systems Manager Explorer, es un panel de operaciones personalizable que proporciona información sobre sus AWS recursos. Puede sincronizar los datos de operaciones en todas las cuentas de su AWS organización mediante el explorador AWS Organizations de Systems Manager. Systems Manager se implementa en la cuenta de Shared Services mediante la funcionalidad de administrador delegado de AWS Organizations.

Systems Manager le ayuda a mantener la seguridad y el cumplimiento mediante el análisis de las instancias gestionadas y la notificación (o la adopción de medidas correctivas) sobre cualquier infracción de las políticas que detecte. Al combinar Systems Manager con las implementaciones adecuadas en un miembro individual Cuentas de AWS (por ejemplo, la cuenta de la aplicación), puede coordinar la recopilación de datos de inventario de instancias y centralizar la automatización, como la aplicación de parches y las actualizaciones de seguridad.

AWS Managed Microsoft AD

AWS Directory Service for Microsoft Active Directory, también conocida como AWS Managed Microsoft AD, permite que sus cargas de trabajo y AWS recursos compatibles con directorios utilicen Active Directory administrado en él. AWS Puede utilizar AWS Managed Microsoft AD para unir instancias de Amazon EC2 for Windows Server, Amazon EC2 para Linux y Amazon RDS for SQL Server a su dominio, y AWS utilizar servicios de informática de usuario final (EUC), como WorkSpacesAmazon, con usuarios y grupos de Active Directory.

AWS Managed Microsoft AD le ayuda a ampliar su Active Directory actual AWS y a utilizar sus credenciales de usuario locales existentes para acceder a los recursos en la nube. También puede administrar sus usuarios, grupos, aplicaciones y sistemas locales sin la complejidad de ejecutar y mantener un Active Directory local de alta disponibilidad. Puede unir sus ordenadores, portátiles e impresoras existentes a un AWS Managed Microsoft AD dominio.

AWS Managed Microsoft AD se basa en Microsoft Active Directory y no requiere que sincronice o replique los datos de su Active Directory existente en la nube. Puede utilizar herramientas y funciones de administración de Active Directory que ya conoce, como los objetos de política de grupo (GPOs), las confianzas de dominio, las políticas de contraseñas detalladas, las cuentas de servicios gestionados grupales (gMSAs), las extensiones de esquema y el inicio de sesión único basado en Kerberos. También puede delegar tareas administrativas y autorizar el acceso mediante grupos de seguridad de Active Directory.

La replicación multirregional le permite implementar y usar un único AWS Managed Microsoft AD directorio en varios Regiones de AWS. Esto hace que sea más fácil y rentable implementar y administrar sus cargas de trabajo de Microsoft Windows y Linux en todo el mundo. Cuando utiliza la capacidad de replicación multirregional automatizada, obtiene una mayor resiliencia, mientras que sus aplicaciones utilizan un directorio local para lograr un rendimiento óptimo.

AWS Managed Microsoft AD admite el Protocolo ligero de acceso a directorios (LDAP) sobre SSL/TLS, también conocido como LDAPS, tanto en funciones de cliente como de servidor. Cuando actúa como servidor, AWS Managed Microsoft AD admite el LDAPS a través de los puertos 636 (SSL) y 389 (TLS). Para habilitar las comunicaciones LDAPS del lado del servidor, instale un certificado en los controladores de AWS Managed Microsoft AD dominio procedente de una entidad de certificación (CA) AWS basada en los Servicios de Certificación de Active Directory (AD CS). Cuando actúa como cliente, AWS Managed Microsoft AD admite LDAPS a través de los puertos 636 (SSL). Puede habilitar las comunicaciones LDAPS del lado del cliente registrando los certificados de CA de los emisores de certificados de su servidor y AWS, a continuación, habilitando LDAPS en su directorio. 

En la AWS SRA, Directory Service se usa dentro de la cuenta de Shared Services para proporcionar servicios de dominio para cargas de trabajo compatibles con Microsoft en varias cuentas de miembros. AWS

Consideración del diseño

Puede conceder a sus usuarios de Active Directory locales acceso para iniciar sesión en Consola de administración de AWS y AWS Command Line Interface (AWS CLI) con sus credenciales de Active Directory existentes mediante el Centro de identidades de IAM y seleccionándolo como fuente de identidad. AWS Managed Microsoft AD Esto permite a los usuarios asumir una de las funciones que se les han asignado al iniciar sesión y acceder a los recursos y tomar medidas al respecto de acuerdo con los permisos definidos para la función. Una opción alternativa es utilizarla para AWS Managed Microsoft AD permitir que los usuarios asuman una función de IAM.

IAM Identity Center

La AWS SRA utiliza la función de administrador delegado que permite delegar la mayor parte AWS IAM Identity Center de la administración del IAM Identity Center a la cuenta de Shared Services. Esto ayuda a restringir la cantidad de usuarios que necesitan acceder a la cuenta de administración de la organización. El Centro de Identidad de IAM aún debe estar habilitado en la cuenta de administración de la organización para realizar determinadas tareas, incluida la administración de los conjuntos de permisos que se aprovisionan en la cuenta de administración de la organización.

El motivo principal para utilizar la cuenta de Shared Services como administrador delegado del Centro de Identidad de IAM es la ubicación de Active Directory. Si piensa utilizar Active Directory como fuente de identidad del IAM Identity Center, tendrá que localizar el directorio en la cuenta de miembro que haya designado como cuenta de administrador delegado del IAM Identity Center. En la AWS SRA, la cuenta de Shared Services se aloja AWS Managed Microsoft AD, por lo que dicha cuenta pasa a ser la administradora delegada del IAM Identity Center.

El Centro de Identidad de IAM admite el registro de una cuenta de un solo miembro como administrador delegado al mismo tiempo. Puede registrar una cuenta de miembro solo si inicia sesión con las credenciales de la cuenta de administración. Para habilitar la delegación, debe tener en cuenta los requisitos previos que figuran en la documentación del Centro de Identidad de IAM. La cuenta de administrador delegado puede realizar la mayoría de las tareas de administración del IAM Identity Center, pero con algunas restricciones, que se indican en la documentación del IAM Identity Center. El acceso a la cuenta de administrador delegado del IAM Identity Center debe estar estrictamente controlado.

Consideraciones sobre el diseño

  • Si decide cambiar la fuente de identidad del Centro de Identidad de IAM de cualquier otra fuente a Active Directory, o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir (ser propiedad de) la cuenta del miembro administrador delegado del Centro de Identidad de IAM, si existe; de lo contrario, debe estar en la cuenta de administración.

  • Puede alojarla AWS Managed Microsoft AD en una VPC dedicada en una cuenta diferente y, a continuación, usar AWS Resource Access Manager (AWS RAM) para compartir subredes de esta otra cuenta con la cuenta de administrador delegado. De esta forma, la AWS Managed Microsoft AD instancia se controla en la cuenta de administrador delegado, pero desde la perspectiva de la red actúa como si estuviera desplegada en la VPC de otra cuenta. Esto resulta útil cuando tiene varias AWS Managed Microsoft AD instancias y desea implementarlas localmente en el lugar donde se ejecuta su carga de trabajo, pero administrarlas de forma centralizada a través de una cuenta.

  • Si tiene un equipo de identidades dedicado que realiza actividades habituales de administración de identidades y accesos o si tiene requisitos de seguridad estrictos para separar las funciones de administración de identidades de otras funciones de servicios compartidos, puede alojar un equipo dedicado a Cuenta de AWS la administración de identidades. En este escenario, designa esta cuenta como su administradora delegada para el Centro de Identidad de IAM y también aloja su AWS Managed Microsoft AD directorio. Puede lograr el mismo nivel de aislamiento lógico entre sus cargas de trabajo de administración de identidades y otras cargas de trabajo de servicios compartidos mediante el uso de permisos de IAM detallados en una sola cuenta de servicio compartido.

  • En la actualidad, el IAM Identity Center no ofrece soporte multirregional. (Para habilitar el Centro de Identidad de IAM en una región diferente, primero debe eliminar la configuración actual del Centro de Identidad de IAM). Además, no admite el uso de diferentes fuentes de identidad para diferentes conjuntos de cuentas ni permite delegar la administración de permisos en diferentes partes de la organización (es decir, varios administradores delegados) o en diferentes grupos de administradores. Si necesita alguna de estas funciones, puede usar la federación de IAM para administrar sus identidades de usuario dentro de un proveedor de identidades (IdP) externo y conceder permiso a estas identidades AWS de usuarios externos para AWS usar los recursos de su cuenta. Soportes de IAM IdPs compatibles con OpenID Connect (OIDC) o SAML 2.0. Como práctica recomendada, utilice la federación de SAML 2.0 con proveedores de identidad de terceros, como Active Directory Federation Service (AD FS), Okta, Azure Active Directory (Azure AD) o Ping Identity, para ofrecer a los usuarios la función de inicio de sesión único que les permita iniciar sesión en las operaciones de la API o realizar llamadas a ellas. Consola de administración de AWS AWS Para obtener más información sobre los proveedores de identidad y federación de IAM, consulte Acerca de la federación basada en SAML 2.0 en la documentación de IAM.