SEC03-BP02 Conceder acceso con privilegios mínimos
Conceda exclusivamente el acceso que las identidades necesitan mediante la restricción de los permisos a acciones concretas en recursos de AWS específicos en determinadas condiciones. Utilice grupos y atributos de identidad para configurar dinámicamente los permisos en función de las necesidades en lugar de configurarlos para cada usuario. Por ejemplo, puede conceder acceso a un grupo de desarrolladores para que solamente puedan administrar recursos de su proyecto. De este modo, si un desarrollador abandona el grupo, su acceso para acceder a cualquier lugar al que el grupo pudiera acceder quedará revocado sin necesidad de realizar ningún cambio en las políticas de acceso.
Patrones comunes de uso no recomendados:
-
Concesión predeterminada de permisos de administrador a los usuarios.
-
Uso de la cuenta raíz para las actividades cotidianas.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: Alto
Guía para la implementación
El establecimiento de un principio de privilegio mínimo garantiza que a las identidades solo se les permita realizar el conjunto de funciones mínimo necesario para llevar a cabo una tarea específica, a la vez que mantiene un equilibrio entre usabilidad y eficacia. Al operar según este principio, se limita el acceso involuntario y se garantiza que se pueda auditar quién tiene acceso a determinados recursos. En AWS, las identidades no tienen permisos de forma predeterminada excepto el usuario raíz. Las credenciales del usuario raíz deben estar muy controladas y solo se deben utilizar para unas pocas tareas específicas.
Las políticas se utilizan para conceder explícitamente permisos adjuntos a IAM o a entidades de recursos, como un rol de IAM que utilizan las identidades o máquinas federadas, o recursos (por ejemplo, buckets de S3). Al crear y adjuntar una política, puede especificar las acciones de servicio, los recursos y las condiciones que se deben cumplir para que AWS permita el acceso. AWS es compatible con una amplia variedad de condiciones que le ayudarán a acotar el acceso. Por ejemplo, si usa la clave de condición PrincipalOrgID
,el identificador de AWS Organizations se verifica de modo que se pueda conceder el acceso en su organización de AWS.
También puede controlar las solicitudes que realicen los servicios de AWS en su nombre, como que AWS CloudFormation cree una función de AWS Lambda, mediante la clave de condición CalledVia
. Debe estratificar los diferentes tipos de políticas para limitar de forma eficaz los permisos generales en una cuenta. Por ejemplo, puede permitir a sus equipos de aplicaciones crear sus propias políticas de IAM, pero utilizar un límite de permisos
Existen varias capacidades de AWS que le ayudan a escalar la administración de permisos y a cumplir el principio de privilegio mínimo. El control de acceso basado en atributos
Otra forma de acelerar la creación de una política de privilegio mínimo, consiste en basar su política de CloudTrail en los permisos tras la ejecución de una actividad. IAM Access Analyzer puede generar automáticamente una política de IAM basada en la actividad
Establezca una cadencia de revisión de estos detalles y elimine los permisos innecesarios. Debe establecer barreras de protección de permisos en su organización de AWS para controlar los permisos máximos en cualquier cuenta de miembro. Los servicios como AWS Control Tower tienen controles preventivos prescriptivos administrados y le permiten definir sus propios controles.
Recursos
Documentos relacionados:
Vídeos relacionados:
Ejemplos relacionados: