SEC03-BP02 Conceder acceso con privilegios mínimos - AWS Well-Architected Framework

SEC03-BP02 Conceder acceso con privilegios mínimos

Conceda exclusivamente el acceso que las identidades necesitan mediante la restricción de los permisos a acciones concretas en recursos de AWS específicos en determinadas condiciones. Utilice grupos y atributos de identidad para configurar dinámicamente los permisos en función de las necesidades en lugar de configurarlos para cada usuario. Por ejemplo, puede conceder acceso a un grupo de desarrolladores para que solamente puedan administrar recursos de su proyecto. De este modo, si un desarrollador abandona el grupo, su acceso para acceder a cualquier lugar al que el grupo pudiera acceder quedará revocado sin necesidad de realizar ningún cambio en las políticas de acceso.

Patrones comunes de uso no recomendados:

  • Concesión predeterminada de permisos de administrador a los usuarios.

  • Uso de la cuenta raíz para las actividades cotidianas.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: Alto

Guía para la implementación

El establecimiento de un principio de privilegio mínimo garantiza que a las identidades solo se les permita realizar el conjunto de funciones mínimo necesario para llevar a cabo una tarea específica, a la vez que mantiene un equilibrio entre usabilidad y eficacia. Al operar según este principio, se limita el acceso involuntario y se garantiza que se pueda auditar quién tiene acceso a determinados recursos. En AWS, las identidades no tienen permisos de forma predeterminada excepto el usuario raíz. Las credenciales del usuario raíz deben estar muy controladas y solo se deben utilizar para unas pocas tareas específicas.

Las políticas se utilizan para conceder explícitamente permisos adjuntos a IAM o a entidades de recursos, como un rol de IAM que utilizan las identidades o máquinas federadas, o recursos (por ejemplo, buckets de S3). Al crear y adjuntar una política, puede especificar las acciones de servicio, los recursos y las condiciones que se deben cumplir para que AWS permita el acceso. AWS es compatible con una amplia variedad de condiciones que le ayudarán a acotar el acceso. Por ejemplo, si usa la clave de condición PrincipalOrgID ,el identificador de AWS Organizations se verifica de modo que se pueda conceder el acceso en su organización de AWS.

También puede controlar las solicitudes que realicen los servicios de AWS en su nombre, como que AWS CloudFormation cree una función de AWS Lambda, mediante la clave de condición CalledVia . Debe estratificar los diferentes tipos de políticas para limitar de forma eficaz los permisos generales en una cuenta. Por ejemplo, puede permitir a sus equipos de aplicaciones crear sus propias políticas de IAM, pero utilizar un límite de permisos para restringir el máximo de permisos que pueden conceder.

Existen varias capacidades de AWS que le ayudan a escalar la administración de permisos y a cumplir el principio de privilegio mínimo. El control de acceso basado en atributos le permite limitar los permisos en función de la etiqueta de un recurso, para tomar decisiones de autorización basadas en las etiquetas aplicadas al recurso y a la entidad principal de IAM de llamada. De este modo, podrá combinar su política de etiquetado y de permisos para conseguir un acceso detallado a los recursos sin necesidad de muchas políticas personalizadas.

Otra forma de acelerar la creación de una política de privilegio mínimo, consiste en basar su política de CloudTrail en los permisos tras la ejecución de una actividad. IAM Access Analyzer puede generar automáticamente una política de IAM basada en la actividad. También puede utilizar IAM Access Advisor en una organización o una cuenta individual para hacer un seguimiento de la información a la que se ha accedido por última vez para una política concreta.

Establezca una cadencia de revisión de estos detalles y elimine los permisos innecesarios. Debe establecer barreras de protección de permisos en su organización de AWS para controlar los permisos máximos en cualquier cuenta de miembro. Los servicios como AWS Control Tower tienen controles preventivos prescriptivos administrados y le permiten definir sus propios controles.

Recursos

Documentos relacionados:

Vídeos relacionados:

Ejemplos relacionados: