Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración delegada
La administración delegada proporciona una forma cómoda para que los usuarios asignados a una cuenta miembro registrada realicen la mayoría de las tareas administrativas de IAM Identity Center. Al activar el Centro de Identidad de IAM, su instancia del Centro de Identidad de IAM se crea en la cuenta de administración de forma AWS Organizations predeterminada. Se diseñó originalmente de esta manera para que IAM Identity Center pudiera aprovisionar, desaprovisionar y actualizar las características en todas las cuentas de los miembros de su organización. Aunque su instancia del IAM Identity Center debe residir siempre en la cuenta de administración, puede delegar la administración del Centro de Identidad de IAM a una cuenta de miembro en AWS Organizations, lo que amplía la capacidad de administrar el Centro de Identidad de IAM desde fuera de la cuenta de administración.
Habilitar la administración delegada proporciona los siguientes beneficios:
-
Minimiza la cantidad de personas que necesitan acceder a la cuenta de administración para ayudar a mitigar los problemas de seguridad
-
Permite a determinados administradores asignar usuarios y grupos a las aplicaciones y a las cuentas de los miembros de su organización
Para obtener más información sobre cómo funciona el Centro de Identidad de IAM, consulte. AWS OrganizationsCuenta de AWS acceder Para obtener información adicional y revisar un ejemplo de escenario empresarial que muestre cómo configurar la administración delegada, consulte Getting started with IAM Identity Center delegated administration
Temas
Prácticas recomendadas
Estas son algunas de las mejores prácticas que se deben tener en cuenta antes de configurar la administración delegada:
-
Otorgue el mínimo privilegio a la cuenta de administración: dado que la cuenta de administración es una cuenta con muchos privilegios y para cumplir con el principio de privilegios mínimos, le recomendamos encarecidamente que restrinja el acceso a la cuenta de administración al menor número posible de personas. La característica de administrador delegado tiene por objeto minimizar el número de personas que necesitan acceder a la cuenta de administración. También puede considerar la posibilidad de utilizar un acceso elevado temporal para conceder este acceso solo cuando sea necesario.
-
Conjuntos de permisos dedicados para la cuenta de administración: utilice conjuntos de permisos dedicados para la cuenta de administración. Por motivos de seguridad, un conjunto de permisos utilizado para acceder a la cuenta de gestión solo puede modificarlo un administrador del Centro de Identidad de IAM desde la cuenta de gestión. El administrador delegado no puede modificar los conjuntos de permisos aprovisionados en la cuenta de gestión.
-
Asigne solo usuarios (no grupos) a los conjuntos de permisos de la cuenta de administración: dado que la cuenta de administración tiene privilegios especiales, debe tener cuidado al asignar el acceso a esta cuenta en la consola o AWS Command Line Interface (CLI). Si asigna grupos a conjuntos de permisos con acceso a la cuenta de administración, cualquier persona que tenga permisos para modificar la pertenencia a esos grupos podrá ser add/remove usuario to/from de esos grupos y, por lo tanto, determinar quién tiene acceso a la cuenta de administración. Se trata de cualquier administrador de grupo con control sobre su fuente de identidad, incluido el administrador del proveedor de identidad (IdP), el administrador del Servicio de dominio de Microsoft Active Directory (AD DS) o el administrador del Centro de identidad de IAM. Por lo tanto, debe asignar los usuarios directamente a los conjuntos de permisos que otorgan acceso a la cuenta de administración y evitar los grupos. Si usa grupos para administrar el acceso a la cuenta de administración, asegúrese de que haya controles adecuados en el IdP para limitar quién tiene la capacidad de modificar esos grupos, y asegúrese de que los cambios en esos grupos (o los cambios en las credenciales de los usuarios de la cuenta de administración) se registren y revisen según sea necesario.
-
Tenga en cuenta su ubicación de Active Directory: si piensa utilizar Active Directory como fuente de identidad de IAM Identity Center, localice el directorio en la cuenta del miembro en la que haya activado la característica de administrador delegado de IAM Identity Center. Si decide cambiar la fuente de identidad del Centro de identidad de IAM de cualquier otra fuente a Active Directory, o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir en la cuenta del miembro administrador delegado del Centro de identidades de IAM. Si desea que su Active Directory esté en la cuenta de administración, debe realizar la configuración en la cuenta de administración, ya que el administrador delegado no tendrá los permisos necesarios para completarla.
Limite las acciones del almacén de identidades del IAM Identity Center en la cuenta de administración delegada con fuentes de identidad externas
Si utiliza una fuente de identidad externa, como un IdP AWS Directory Service, debe implementar políticas que limiten las acciones del almacén de identidades que un administrador del Centro de identidades de IAM puede realizar desde la cuenta de administración delegada. Las operaciones de escritura y eliminación deben considerarse detenidamente. Por lo general, la fuente de identidad externa es la fuente veraz de los usuarios y sus atributos, así como de las pertenencias a grupos. Si los modifica mediante el almacén de identidades APIs o la consola, los cambios se sobrescribirán durante los ciclos de sincronización normales. Es mejor dejar estas operaciones en manos exclusivas de la fuente de identidad verdadera. Esto también evita que un administrador del centro de identidad de IAM modifique las pertenencias a grupos para conceder acceso a un conjunto de permisos o una aplicación asignados a un grupo, en lugar de dejar el control de la pertenencia al grupo en manos del administrador del IdP. También debe asegurarse de quién puede crear los tokens portadores de SCIM desde la cuenta de administración delegada, ya que podrían permitir al administrador de la cuenta de un miembro modificar grupos y usuarios a través de un cliente de SCIM.
Puede haber ocasiones en las que sea necesario realizar operaciones de escritura o eliminación desde la cuenta de administrador delegado. Por ejemplo, puede crear un grupo sin añadir miembros y, a continuación, realizar asignaciones a un conjunto de permisos sin tener que esperar a que el administrador del IdP cree el grupo. Nadie tendrá acceso a esa asignación hasta que el administrador del IdP aprovisione el grupo y el proceso de sincronización del IdP establezca los miembros del grupo. También puede ser adecuado eliminar un usuario o un grupo para impedir el inicio de sesión o la autorización en un momento en el que no pueda esperar al proceso de sincronización del IdP para eliminar el acceso del usuario o el grupo. Sin embargo, el uso indebido de este permiso puede ser perjudicial para los usuarios. Debe utilizar el principio del privilegio mínimo al asignar los permisos del almacén de identidades. Puede controlar qué acciones del almacén de identidades están permitidas por los administradores de su cuenta de administración delegada mediante una política de control de servicios (SCP).
El siguiente ejemplo de SCP impide asignar usuarios a grupos a través de la API Identity Store y el AWS Management Console, lo cual se recomienda cuando la fuente de identidad es externa. Esto no afecta a la sincronización de usuarios desde AWS Directory Service o desde un IdP externo (a través de SCIM).
nota
Es posible que, aunque utilice una fuente de identidad externa, su organización dependa, total o parcialmente, del almacén de identidades APIs para el aprovisionamiento de usuarios y grupos. Por lo tanto, antes de activar este SCP, debe confirmar que su proceso de aprovisionamiento de usuarios no utiliza esta operación de la API del almacén de identidades. Consulte también la siguiente sección para obtener información sobre cómo limitar la administración de la pertenencia a grupos a grupos específicos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["identitystore:CreateGroupMembership"], "Resource": [ "*" ] } ] }
Si desea evitar agregar usuarios solo a los grupos que otorgan acceso a la cuenta de administración, puede hacer referencia a esos grupos específicos utilizando el ARN del grupo en el siguiente formato:. arn:${Partition}:identitystore:::group/${GroupId} Este y otros tipos de recursos disponibles en el almacén de identidades están documentados en los tipos de recursos definidos por el almacén de AWS identidades en la Referencia de autorización de servicios. También puede considerar la posibilidad de incluir un almacén de identidades adicional APIs en el SCP. Para obtener más información, consulte Acciones en la referencia de la API del almacén de identidades.
Si añade la siguiente declaración de política a su SCP, puede impedir que el administrador delegado cree los tokens portadores del SCIM. Puede aplicar esto a ambas fuentes de identidad externas.
nota
Si tu administrador delegado necesita configurar el aprovisionamiento de usuarios con SCIM o realizar la rotación periódica del token portador del SCIM, tendrás que permitir temporalmente el acceso a esta API para que el administrador delegado pueda completar esas tareas.
{ "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] }
Limite las acciones del almacén de identidades del IAM Identity Center en la cuenta de administración delegada para los usuarios gestionados localmente
Si crea sus usuarios y grupos directamente en el Centro de identidades de IAM, en lugar de utilizar un IdP AWS Directory Service externo, debe tomar precauciones para determinar quién puede crear usuarios, restablecer las contraseñas y controlar la pertenencia a los grupos. Estas acciones otorgan al administrador grandes poderes para determinar quién puede iniciar sesión y quién puede acceder a ellos mediante la pertenencia a grupos. Lo mejor es implementar estas políticas como políticas integradas dentro de los conjuntos de permisos que utilice para los administradores del Centro de Identidad de IAM, y no como tal. SCPs El siguiente ejemplo de política en línea tiene dos objetivos. En primer lugar, impide añadir usuarios a grupos específicos. Puede usar esto para evitar que los administradores delegados agreguen usuarios a los grupos que otorgan acceso a la cuenta de administración. En segundo lugar, impide la emisión de fichas portadoras del SCIM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["identitystore:CreateGroupMembership"], "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, arn:${Partition}:identitystore:::group/${GroupId2} ] } ], { "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] } ] }
Separe la gestión de la configuración del IAM Identity Center de la administración PermissionSet
Separe las tareas administrativas, como la modificación de la fuente de identidad externa, la gestión del token SCIM y la configuración del tiempo de espera de la sesión, de las tareas de creación, modificación y asignación de conjuntos de permisos creando conjuntos de permisos de administrador distintos desde su cuenta de administración.
Limite la emisión de los tokens portadores del SCIM
Los tokens portadores SCIM permiten que una fuente de identidad externa aprovisione usuarios, grupos y membresías a grupos mediante el protocolo SCIM cuando la fuente de identidad de su centro de identidad de IAM es un IdP externo, como Okta o Entra ID. Puede configurar el siguiente SCP para evitar que los administradores delegados creen los tokens portadores del SCIM. Si su administrador delegado necesita configurar el aprovisionamiento de usuarios con SCIM o realizar la rotación periódica de los tokens portadores del SCIM, tendrá que permitir temporalmente el acceso a esta API para que el administrador delegado pueda completar esas tareas.
{ "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] }
Usa las etiquetas de los conjuntos de permisos y las listas de cuentas para delegar la administración de cuentas específicas
Puede crear conjuntos de permisos que asigne a los administradores del Centro de Identidad de IAM para delegar quién puede crear conjuntos de permisos y quién puede asignar qué conjuntos de permisos en qué cuentas. Para ello, se etiquetan los conjuntos de permisos y se utilizan las condiciones de política en los conjuntos de permisos que se asignan a los administradores. Por ejemplo, puede crear conjuntos de permisos que permitan a un usuario crear conjuntos de permisos siempre que estén etiquetados de una forma determinada. También puede crear políticas que permitan a un administrador asignar conjuntos de permisos que tengan una etiqueta específica en cuentas específicas. Esto puede ayudarle a delegar la administración de las cuentas sin conceder al administrador los privilegios para modificar su acceso ni los privilegios sobre la cuenta de administración delegada. Por ejemplo, al etiquetar los conjuntos de permisos que utiliza únicamente en la cuenta de administración delegada, puede especificar una política que conceda únicamente a determinadas personas los permisos para modificar los conjuntos de permisos y las asignaciones que afectan a la cuenta de administración delegada. También puede conceder permisos a otras personas para que administren una lista de cuentas ajenas a la cuenta de administración delegada. Para obtener más información, consulte Delegar la administración de conjuntos de permisos y la asignación de cuentas AWS IAM Identity Center en
Requisitos previos
Antes de poder registrar una cuenta como administrador delegado, primero debe configurar el siguiente entorno implementado:
-
AWS Organizations debe estar habilitado y configurado con al menos una cuenta de miembro además de la cuenta de administración predeterminada.
-
Si su fuente de identidad está configurada en Active Directory, la característica Centro de identidades de IAM y sincronización de AD configurable debe estar habilitada.
