Prácticas recomendadas de seguridad para Resource Groups - AWS Resource Groupsy etiquetas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de seguridad para Resource Groups

Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

  • Utilice el principio de privilegios mínimospara conceder acceso a grupos. Los Resource Groups admiten permisos de nivel de recurso. Conceda acceso a grupos específicos solo según sea necesario para usuarios específicos. Evite utilizar asteriscos en las instrucciones de política que asignan permisos a todos los usuarios o a todos los grupos. Para obtener más información acerca de privilegios mínimos, consulteConceder privilegios mínimosen laIAM User Guide.

  • Mantenga la información privada fuera de los campos públicos. El nombre de un grupo se trata como metadatos de servicio. Los nombres de grupo no están cifrados. No pongas información confidencial en los nombres de grupo. Las descripciones de grupos son privadas.

    No pongas información privada o confidencial en las claves de etiqueta ni en los valores de etiqueta.

  • Usar autorización basada en el etiquetadoSiempre que proceda. Los Resource Groups admiten la autorización basada en etiquetas. Puede etiquetar grupos y, a continuación, actualizar las políticas asociadas a los usuarios de IAM y a los grupos de seguridad para establecer su nivel de acceso en función de las etiquetas que se aplican a un grupo. Para obtener más información acerca de cómo usar la autorización basada en etiquetas, consulteControl del acceso aAWSrecursos que utilizan etiquetas de recursoen laIAM User Guide.

    MuchosAWSautorizaciones de soporte de servicios basada en etiquetas para sus recursos. Tenga en cuenta que la autorización basada en etiquetas se puede configurar para los recursos miembros de un grupo. Si el acceso a los recursos de un grupo está restringido por etiquetas, es posible que los usuarios o grupos no autorizados no puedan realizar acciones o automatizaciones en esos recursos. Por ejemplo, si una instancia de Amazon EC2 de uno de sus grupos está etiquetada con una clave de etiqueta deConfidentialityy un valor de etiqueta deHigh, y no está autorizado a ejecutar comandos en recursos etiquetadosConfidentiality:High, las acciones o automatizaciones que realice en la instancia EC2 fallarán, incluso si las acciones se realizan correctamente para otros recursos del grupo de recursos. Para obtener más información sobre qué servicios admiten la autorización basada en etiquetas para sus recursos, consulteAWSServicios que funcionan con IAMen laIAM User Guide.

    Para obtener más información acerca de cómo desarrollar una estrategia de etiquetado paraAWSrecursos, consulteAWSEstrategias de etiquetado.