ACCT.03: configurar el acceso a la consola para cada usuario - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

ACCT.03: configurar el acceso a la consola para cada usuario

Como práctica recomendada, se AWS recomienda utilizar credenciales temporales para conceder acceso a los recursos Cuentas de AWS y a ellos. Las credenciales temporales tienen un ciclo de vida limitado, por lo que no tiene que rotarlas ni revocarlas de forma explícita cuando ya no las necesite. Para obtener más información, consulte Credenciales de seguridad temporales (documentación de IAM).

Para los usuarios humanos, se AWS recomienda utilizar identidades federadas de un proveedor de identidades (IdP) centralizado, AWS IAM Identity Center como Okta, Active Directory o Ping Identity. La federación de usuarios permite definir las identidades en una única ubicación central, y los usuarios pueden autenticarse de forma segura en varias aplicaciones y sitios web AWS, incluso mediante el uso de un solo conjunto de credenciales. Para obtener más información, consulte la federación de identidades en el AWS Centro de identidades de IAM (AWS sitio web).

nota

La federación de identidades puede complicar la transición de una arquitectura de una sola cuenta a una arquitectura de varias cuentas. Es habitual que las startups retrasen la implementación de la federación de identidades hasta que hayan establecido una arquitectura de varias cuentas administrada en AWS Organizations.

Para configurar la identidad federada
  1. Si utiliza IAM Identity Center, consulte Introducción (documentación de IAM Identity Center).

    Si utiliza un IdP externo o de terceros, consulte Creación de proveedores de identidad de IAM (documentación de IAM).

  2. Asegúrese de que su IdP aplique la autenticación multifactor (MFA).

  3. Implemente los permisos en función de ACCT.04: asignar permisos.

En el caso de las startups que no se encuentran preparadas para configurar la federación de identidades, puede crear usuarios directamente en IAM. Esta no es una práctica recomendada de seguridad porque se trata de credenciales de larga duración que nunca caducan. Sin embargo, es una práctica habitual para las startups que están empezando a operar, a fin de evitar las dificultades que supone la transición a una arquitectura de una sola cuenta cuando se encuentran preparadas para operar.

Como punto de partida, puede crear un usuario de IAM para cada persona que necesite acceder a la AWS Management Console. Si configura los usuarios de IAM, no comparta las credenciales entre los usuarios y cambie las credenciales de larga duración de forma periódica.

aviso

Los usuarios de IAM tienen credenciales de larga duración, lo que supone un riesgo para la seguridad. Para ayudar a mitigar este riesgo, le recomendamos que brinde a estos usuarios únicamente los permisos que necesitan para realizar la tarea y que los elimine cuando ya no los necesiten.

Para crear un usuario de IAM
  1. Crear usuarios de IAM (documentación de IAM).

  2. Implemente los permisos en función de ACCT.04: asignar permisos.