Prácticas recomendadas de seguridad para Resource Groups - AWS Resource Groups

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas de seguridad para Resource Groups

Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.

  • Utilice el principio de privilegio mínimo para permitir el acceso a grupos. Resource Groups admite permisos a nivel de recursos. Conceda acceso a grupos específicos solo cuando sea necesario para usuarios específicos. Evite el uso de asteriscos en las declaraciones de política que asignan permisos a todos los usuarios o a todos los grupos. Para obtener más información sobre el privilegio mínimo, consulte Conceder privilegios mínimos en la Guía del usuario de IAM.

  • Mantenga la información privada fuera de los campos públicos. El nombre de un grupo se trata como metadatos de servicio. Los nombres de los grupos no están cifrados. No incluya información confidencial en los nombres de los grupos. Las descripciones de los grupos son privadas.

    No coloque información privada o confidencial en las claves o valores de las etiquetas.

  • Utilice la autorización basada en el etiquetado siempre que sea apropiado. Resource Groups es compatible con la autorización basada en etiquetas. Puede etiquetar grupos y, a continuación, actualizar las políticas asociadas a sus entidades principales de IAM, como los usuarios y las funciones, para establecer su nivel de acceso en función de las etiquetas que se apliquen a un grupo. Para obtener más información sobre el uso de la autorización basada en etiquetas, consulte Control de acceso a los recursos de AWS en la Guía del usuario de IAM.

    Muchos servicios de AWS admiten la autorización basada en etiquetas para sus recursos. Tenga en cuenta que la autorización basada en etiquetas puede configurarse para los recursos de los miembros de un grupo. Si el acceso a los recursos de un grupo está restringido por etiquetas, es posible que los usuarios o grupos no autorizados no puedan realizar acciones o automatizaciones en esos recursos. Por ejemplo, si una instancia de Amazon EC2 de uno de sus grupos está etiquetada con una clave de etiqueta Confidentiality y un valor de etiqueta de High y no está autorizado a ejecutar comandos en los recursos etiquetados Confidentiality:High, las acciones o automatizaciones que realice en la instancia de EC2 fallarán, incluso si las acciones se realizan correctamente para otros recursos del grupo de recursos. Para obtener más información sobre qué servicios admiten la autorización basada en etiquetas para sus recursos, consulte AWSServicios que funcionan con IAM en la Guía del usuario de IAM.

    Para obtener más información sobre cómo desarrollar una estrategia de etiquetado para sus AWS recursos, consulte Estrategias de etiquetado de AWS.