Resiliencia en AWS Identity and Access Management

La infraestructura global de AWS se compone de regiones y zonas de disponibilidad de AWS. AWS Las regiones tienen múltiples zonas de disponibilidad físicamente separadas y aisladas, que están conectadas con redes de baja latencia, alto rendimiento y altamente redundantes. Para obtener más información sobre las regiones y zonas de disponibilidad de AWS, consulte Infraestructura global de AWS.

AWS Identity and Access Management (IAM) y AWS Security Token Service (AWS STS) son servicios autónomos, basados en la región, disponibles en todo el mundo.

IAM es un Servicio de AWS fundamental. IAM debe autenticar y autorizar cada operación que se lleva a cabo en AWS. IAM comprueba cada solicitud con las identidades y políticas almacenadas en IAM para determinar si se permite o se deniega la solicitud. IAM se diseñó con un plano de control y un plano de datos separados para que el servicio se autentique incluso durante fallos inesperados. Los recursos de IAM que se utilizan en las autorizaciones, como los roles y las políticas, se almacenan en el plano de control. Los clientes de IAM pueden cambiar la configuración de estos recursos mediante operaciones de IAM, como DeletePolicy y AttachRolePolicy. Esas solicitudes de cambio de configuración van al plano de control. Hay un plano de control de IAM para todas las Regiones de AWS comerciales, que se encuentra en la región Este de EE. UU. (Norte de Virginia). A continuación, el sistema de IAM propaga los cambios de configuración a los planos de datos de IAM en cada uno de los planos habilitados para la Región de AWS. El plano de datos de IAM es, esencialmente, una réplica de solo lectura de los datos de configuración del plano de control de IAM. Cada Región de AWS tiene una instancia completamente independiente del plano de datos de IAM, que autentica y autoriza las solicitudes de la misma región. En cada región, el plano de datos de IAM está distribuido en al menos tres zonas de disponibilidad, y tiene capacidad suficiente para tolerar la pérdida de una zona de disponibilidad sin que el cliente se vea perjudicado. Tanto el plano de control como el de datos de IAM se crearon para que no haya inactividad planificada, con todas las actualizaciones de software y operaciones de escalado que se llevan a cabo de manera invisible para los clientes.

Las solicitudes de AWS STS siempre van a un único punto de conexión global por defecto. Puede utilizar un punto de conexión de AWS STS regional para reducir la latencia o proporcionar redundancia adicional para sus aplicaciones. Para obtener más información, consulte Administrar AWS STS en una Región de AWS.

Ciertos eventos pueden interrumpir la comunicación entre Regiones de AWS a través de la red. No obstante, incluso cuando no puede comunicarse con el punto de conexión de IAM global, AWS STS puede seguir autenticando las entidades principales de IAM, e IAM puede autorizar sus solicitudes. Los detalles específicos de un evento que interrumpe la comunicación determinarán su capacidad de acceso a los servicios de AWS. En la mayoría de los casos, puede seguir utilizando credenciales de IAM en su entorno de AWS. Las siguientes condiciones podrían aplicarse a un evento que interrumpe la comunicación.

Claves de acceso para usuarios de IAM

Puede autenticarse indefinidamente en una región con claves de acceso para usuarios de IAM a largo plazo. Cuando utiliza la AWS Command Line Interface y las API, puede proporcionar claves de acceso de AWS para que AWS pueda verificar su identidad en las solicitudes programáticas.

importante

Como práctica recomendada, le sugerimos que los usuarios inicien sesión con credenciales temporales en lugar de claves de acceso de larga duración.

Credenciales temporales

Puede solicitar nuevas credenciales temporales con el punto de conexión de servicio regional de AWS STS durante al menos 24 horas. Las siguientes operaciones de API generan credenciales temporales.

AssumeRole
AssumeRoleWithWebIdentity
AssumeRoleWithSAML
GetFederationToken
GetSessionToken

Entidades principales y permisos

Es posible que no pueda agregar, modificar o eliminar entidades principales o permisos de IAM.
Es posible que sus credenciales no reflejen los cambios en los permisos que ha aplicado recientemente en IAM. Para obtener más información, consulte Los cambios que realizo no están siempre visibles inmediatamente.

AWS Management Console

Es posible que pueda usar un punto de conexión de inicio de sesión regional para iniciar sesión en la AWS Management Console como usuario de IAM. Los puntos de conexión de inicio de sesión regionales tienen el siguiente formato de URL.

https://{Account ID}.signin.aws.amazon.com/console?region={Region}

Ejemplo: https://111122223333.signin.aws.amazon.com/console?region=us-west-2
Es posible que no pueda completar la autenticación multifactor (MFA) de segundo factor universal (U2F).

Prácticas recomendadas para la resiliencia de IAM

AWS ha incorporado resiliencia en zonas de disponibilidad y Regiones de AWS. Cuando observa las siguientes prácticas recomendadas de IAM en los sistemas que interactúan con su entorno, aprovecha esa capacidad de resiliencia.

Utilice un punto de conexión de servicio regional de AWS STS en lugar del punto de conexión global predeterminado.
Revise la configuración de su entorno en busca de recursos vitales que creen o modifiquen rutinariamente los recursos de IAM, y prepare una solución alternativa que utilice los recursos de IAM existentes.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Validación de conformidad

Seguridad de infraestructuras