Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración delegada
La administración delegada proporciona una forma cómoda para que los usuarios asignados a una cuenta miembro registrada realicen la mayoría de las tareas administrativas de IAM Identity Center. Al activar el Centro de Identidad de IAM, su instancia del Centro de Identidad de IAM se crea en la cuenta de administración de forma AWS Organizations predeterminada. Se diseñó originalmente de esta manera para que IAM Identity Center pudiera aprovisionar, desaprovisionar y actualizar las características en todas las cuentas de los miembros de su organización. Aunque su instancia del IAM Identity Center debe residir siempre en la cuenta de administración, puede delegar la administración del Centro de Identidad de IAM a una cuenta de miembro en AWS Organizations, lo que amplía la capacidad de administrar el Centro de Identidad de IAM desde fuera de la cuenta de administración.
Habilitar la administración delegada proporciona los siguientes beneficios:
-
Minimiza la cantidad de personas que necesitan acceder a la cuenta de administración para ayudar a mitigar los problemas de seguridad
-
Permite a determinados administradores asignar usuarios y grupos a las aplicaciones y a las cuentas de los miembros de su organización
Para obtener más información sobre cómo funciona el Centro de Identidad de IAM, consulte. AWS OrganizationsConfigure el acceso a Cuentas de AWS Para obtener información adicional y revisar un ejemplo de escenario empresarial que muestre cómo configurar la administración delegada, consulte Getting started with IAM Identity Center delegated administration
Temas
Prácticas recomendadas
Estas son algunas prácticas recomendadas antes de configurar la administración delegada:
-
Otorgue el mínimo privilegio a la cuenta de administración: dado que la cuenta de administración es una cuenta con muchos privilegios y para cumplir con el principio de privilegios mínimos, le recomendamos encarecidamente que restrinja el acceso a la cuenta de administración al menor número posible de personas. La característica de administrador delegado tiene por objeto minimizar el número de personas que necesitan acceder a la cuenta de administración. También puede considerar la posibilidad de utilizar un acceso elevado temporal para conceder este acceso solo cuando sea necesario.
-
Conjuntos de permisos dedicados para la cuenta de administración: utilice conjuntos de permisos dedicados para la cuenta de administración. Por motivos de seguridad, un conjunto de permisos utilizado para acceder a la cuenta de administración solo puede modificarlo un administrador de IAM Identity Center desde la cuenta de administración. El administrador delegado no puede modificar los conjuntos de permisos aprovisionados en la cuenta de administración.
-
Asigne solo usuarios (no grupos) a los conjuntos de permisos de la cuenta de administración: dado que la cuenta de administración tiene privilegios especiales, debe tener cuidado al asignar el acceso a esta cuenta en la consola o AWS Command Line Interface (CLI). Si asigna grupos a conjuntos de permisos con acceso a la cuenta de administración, cualquier persona que tenga permisos para modificar la pertenencia a esos grupos podrá ser add/remove usuario to/from de esos grupos y, por lo tanto, determinar quién tiene acceso a la cuenta de administración. Se trata de cualquier administrador de grupo con control sobre su origen de identidad, incluido el administrador del proveedor de identidades (IdP), el administrador del Servicio de dominio de Microsoft Active Directory (AD DS) o el administrador de IAM Identity Center. Por lo tanto, debe asignar los usuarios directamente a los conjuntos de permisos que otorgan acceso a la cuenta de administración y evitar los grupos. Si usa grupos para administrar el acceso a la cuenta de administración, asegúrese de que haya controles adecuados en el IdP para limitar quién tiene la capacidad de modificar esos grupos, y asegúrese de que los cambios en esos grupos (o los cambios en las credenciales de los usuarios de la cuenta de administración) se registren y revisen según sea necesario.
-
Tenga en cuenta su ubicación de Active Directory: si piensa utilizar Active Directory como fuente de identidad de IAM Identity Center, localice el directorio en la cuenta del miembro en la que haya activado la característica de administrador delegado de IAM Identity Center. Si decide cambiar el origen de identidad de IAM Identity Center de cualquier otro origen a Active Directory, o cambiarlo de Active Directory a cualquier otro origen, el directorio debe residir en la cuenta de miembro administrador delegado de IAM Identity Center. Si desea que Active Directory esté en la cuenta de administración, debe realizar la configuración en la cuenta de administración, ya que el administrador delegado no tendrá los permisos necesarios para completarla.
Limite las acciones del almacén de identidades de IAM Identity Center en la cuenta de administración delegada con orígenes de identidad externos
Si utiliza una fuente de identidad externa, como un IdP Directory Service, debe implementar políticas que limiten las acciones del almacén de identidades que un administrador del Centro de identidades de IAM puede realizar desde la cuenta de administración delegada. Las operaciones de escritura y eliminación deben considerarse detenidamente. Por lo general, el origen de identidad externo es la fuente veraz de los usuarios y sus atributos, así como de las membresías grupales. Si las modifica mediante el almacén de identidades APIs o la consola, los cambios se sobrescribirán durante los ciclos de sincronización normales. Es mejor dejar estas operaciones al control exclusivo del origen veraz de tu identidad. Esto también evita que un administrador de IAM Identity Center modifique la membresía grupal para conceder acceso a un conjunto de permisos o una aplicación asignados a un grupo, en lugar de dejar el control de la membresía grupal en manos del administrador del IdP. También debe asegurarse de quién puede crear los tokens portadores del SCIM desde la cuenta de administración delegada, ya que podrían permitir al administrador de la cuenta de miembro modificar grupos y usuarios a través de un cliente de SCIM.
Puede haber ocasiones en las que sea necesario realizar operaciones de escritura o eliminación desde la cuenta de administrador delegado. Por ejemplo, puede crear un grupo sin añadir miembros y, a continuación, realizar asignaciones a un conjunto de permisos sin tener que esperar a que el administrador del IdP cree el grupo. Nadie tendrá acceso a esa asignación hasta que el administrador del IdP aprovisione el grupo y el proceso de sincronización del IdP establezca los miembros del grupo. También puede ser adecuado eliminar un usuario o un grupo para impedir el inicio de sesión o la autorización en un momento en el que no pueda esperar al proceso de sincronización del IdP para eliminar el acceso del usuario o el grupo. Sin embargo, el uso indebido de este permiso puede ser perjudicial para los usuarios. Debe utilizar el principio de privilegio mínimo al asignar permisos de almacén de identidades. Puede controlar qué acciones de almacén de identidades permiten los administradores de su cuenta de administración delegada mediante una política de control de servicio (SCP).
El ejemplo de SCP que aparece a continuación impide asignar usuarios a grupos a través de la API Identity Store y el Consola de administración de AWS, lo cual se recomienda cuando la fuente de identidad es externa. Esto no afecta a la sincronización de usuarios desde Directory Service o desde un IdP externo (a través de SCIM).
nota
Es posible que, aunque utilice una fuente de identidad externa, su organización dependa, total o parcialmente, del almacén de identidades APIs para el aprovisionamiento de usuarios y grupos. Por lo tanto, antes de activar esta SCP, debe confirmar que su proceso de aprovisionamiento de usuarios no utiliza esta operación de la API del almacén de identidades. Consulte también la siguiente sección para obtener información sobre cómo limitar la administración de la membresía grupal a grupos específicos.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["identitystore:CreateGroupMembership"], "Resource": [ "*" ] } ] }
Si desea evitar agregar usuarios solo a los grupos que otorgan acceso a la cuenta de administración, puede hacer referencia a esos grupos específicos utilizando el ARN del grupo en el siguiente formato: arn:${Partition}:identitystore:::group/${GroupId}. Este y otros tipos de recursos disponibles en el almacén de identidades están documentados en la sección Tipos de recursos definidos por el almacén de AWS identidades en la Referencia de autorización de servicios. También puede considerar la posibilidad de incluir un almacén de identidades adicional APIs en el SCP. Para obtener más información, consulte Actions en la Referencia de la API del almacén de identidades.
Al añadir la siguiente declaración de política a su SCP, puede impedir que el administrador delegado cree los tokens portadores del SCIM. Puede aplicar esto a ambas fuentes de identidad externas.
nota
Si tu administrador delegado necesita configurar el aprovisionamiento de usuarios con SCIM o realizar la rotación periódica del token portador del SCIM, tendrá que permitir temporalmente el acceso a esta API para que el administrador delegado pueda completar esas tareas.
{ "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] }
Limite las acciones del almacén de identidades de IAM Identity Center en la cuenta de administración delegada para los usuarios gestionados localmente
Si crea sus usuarios y grupos directamente en el Centro de identidades de IAM, en lugar de utilizar un IdP Directory Service externo, debe tomar precauciones para determinar quién puede crear usuarios, restablecer las contraseñas y controlar la pertenencia a los grupos. Estas acciones otorgan al administrador un gran control sobre quién puede iniciar sesión y quién puede acceder a ellos mediante la pertenencia a grupos. Lo mejor es implementar estas políticas como políticas integradas dentro de los conjuntos de permisos que utilice para los administradores del Centro de Identidad de IAM, en lugar de implementarlas como políticas integradas. SCPs La siguiente política insertada de ejemplo tiene dos objetivos. En primer lugar, impide añadir usuarios a grupos específicos. Puede usarlo para evitar que los administradores delegados agreguen usuarios a los grupos que otorgan acceso a la cuenta de administración. En segundo lugar, impide la emisión de tokens portadores del SCIM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["identitystore:CreateGroupMembership"], "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, arn:${Partition}:identitystore:::group/${GroupId2} ] } ], { "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] } ] }
Separe la gestión de la configuración del IAM Identity Center de la administración PermissionSet
Separe las tareas administrativas, como la modificación del origen de identidad externo, la administración de los tokens del SCIM y la configuración del tiempo de espera de la sesión de las tareas de crear, modificar y asignar conjuntos de permisos creando conjuntos de permisos de administrador distintos desde su cuenta de administración.
Limitación de la emisión de tokens portadores del SCIM
Los tokens portadores del SCIM permiten que un origen de identidad externo aprovisione usuarios, grupos y membresías grupales mediante el protocolo SCIM cuando el origen de identidad de su IAM Identity Center es un IdP externo, como Okta o Entra ID. Puede configurar la siguiente SCP para impedir que los administradores delegados creen los tokens portadores del SCIM. Si su administrador delegado necesita configurar el aprovisionamiento de usuarios con SCIM o realizar la rotación periódica del token portador del SCIM, tendrá que permitir temporalmente el acceso a esta API para que el administrador delegado pueda completar esas tareas.
{ "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] }
Uso de las etiquetas de los conjuntos de permisos y las listas de cuentas para delegar la administración de cuentas específicas
Puede crear conjuntos de permisos que asigne a los administradores de IAM Identity Center para delegar quién puede crear conjuntos de permisos y quién puede asignar qué conjuntos de permisos en qué cuentas. Para ello, se etiquetan los conjuntos de permisos y se utilizan las condiciones de política en los conjuntos de permisos que se asignan a los administradores. Por ejemplo, puede crear conjuntos de permisos que permitan a un usuario crear conjuntos de permisos siempre que estén etiquetados de una forma determinada. Puede crear políticas que permitan a un administrador asignar conjuntos de permisos con etiquetas específicas en cuentas especificadas. Esto puede ayudarle a delegar la administración de las cuentas sin conceder al administrador los privilegios para modificar su acceso ni los privilegios sobre la cuenta de administración delegada. Por ejemplo, al etiquetar los conjuntos de permisos que utiliza únicamente en la cuenta de administración delegada, puede especificar una política que conceda únicamente a determinadas personas los permisos para modificar los conjuntos de permisos y las asignaciones que afectan a la cuenta de administración delegada. También puede conceder permisos a otras personas para que administren una lista de cuentas ajenas a la cuenta de administración delegada. Para obtener más información, consulte Delegating permission set management and account assignment in AWS IAM Identity Center
Requisitos previos
Antes de poder registrar una cuenta como administrador delegado, primero debe configurar el siguiente entorno implementado:
-
AWS Organizations debe estar habilitado y configurado con al menos una cuenta de miembro además de la cuenta de administración predeterminada.
-
Si su fuente de identidad está configurada en Active Directory, la característica Centro de identidades de IAM y sincronización de AD configurable debe estar habilitada.
