Restrinja los privilegios administrativos

Essential Eight: control	Guía para la implementación	AWS recursos	AWS Guía para Well-Architected
Las solicitudes de acceso privilegiado a los sistemas y aplicaciones se validan cuando se solicitan por primera vez.	Tema 4: Gestionar identidades: Implemente la federación de identidades	Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder AWS mediante credenciales temporales	SEC02-BP04 Uso de un proveedor de identidades centralizado SEC03-BP01 Definición de los requisitos de acceso
El acceso privilegiado a los sistemas y las aplicaciones se deshabilita automáticamente después de 12 meses, a menos que se vuelva a validar.	Tema 4: Gestionar identidades: Implemente la federación de identidades	Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder AWS mediante credenciales temporales	SEC02-BP04 Uso de un proveedor de identidades centralizado
	Tema 4: Gestionar identidades: Rotar las credenciales	Exija que las cargas de trabajo utilicen las funciones de IAM para acceder AWS Automatice la eliminación de las funciones de IAM no utilizadas Cambie las claves de acceso con regularidad para los casos de uso que requieran credenciales a largo plazo AWS Summit ANZ 2023: su transición hacia las credenciales temporales en la nube (YouTube (vídeo)	SEC02-BP05 Auditoría y rotación periódicas de las credenciales
El acceso privilegiado a los sistemas y aplicaciones se desactiva automáticamente tras 45 días de inactividad.	Tema 4: Gestionar identidades: Implemente la federación de identidades Tema 4: Gestionar identidades: Rotar las credenciales	Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder AWS mediante credenciales temporales Exija que las cargas de trabajo utilicen las funciones de IAM para acceder AWS Automatice la eliminación de las funciones de IAM no utilizadas Cambie las claves de acceso con regularidad para los casos de uso que requieran credenciales a largo plazo AWS Summit ANZ 2023: su transición hacia las credenciales temporales en la nube (YouTube (vídeo)	SEC02-BP04 Uso de un proveedor de identidades centralizado SEC02-BP05 Auditoría y rotación periódicas de las credenciales
El acceso privilegiado a los sistemas y aplicaciones se limita únicamente a lo necesario para que los usuarios y los servicios desempeñen sus funciones.	Tema 4: Gestionar identidades: Aplique permisos con privilegios mínimos	Proteja sus credenciales de usuario raíz y no las utilice para las tareas diarias Utilice IAM Access Analyzer para generar políticas de privilegios mínimos en función de la actividad de acceso Verifique el acceso público y multicuenta a los recursos con IAM Access Analyzer Utilice IAM Access Analyzer para validar sus políticas de IAM y obtener permisos seguros y funcionales Establezca barreras de protección de permisos en varias cuentas Usa los límites de los permisos para establecer el número máximo de permisos que puede conceder una política basada en la identidad Utilice las condiciones de las políticas de IAM para restringir aún más el acceso Revise y elimine periódicamente los usuarios, funciones, permisos, políticas y credenciales no utilizados Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos Utilice la función de conjuntos de permisos del Centro de identidades de IAM	SEC01-BP02 Proteja el usuario raíz y las propiedades de la cuenta SEC03-BP02 Concesión de acceso con privilegios mínimos
Las cuentas privilegiadas no pueden acceder a Internet, al correo electrónico y a los servicios web.	Consulte el ejemplo técnico: restringir los privilegios administrativos (sitio web de la ACSC)	Considere la posibilidad de implementar un SCP que impida que cualquier VPC que aún no tenga acceso a Internet lo obtenga	No aplicable
Los usuarios con privilegios utilizan entornos operativos independientes con y sin privilegios.	Tema 5: Establecer un perímetro de datos	Establezca un perímetro de datos. Considere la posibilidad de implementar perímetros de datos entre entornos de diferentes clasificaciones de datos, `OFFICIAL:SENSITIVE` o `PROTECTED` con diferentes niveles de riesgo, como el desarrollo, las pruebas o la producción.	SEC06-BP03 Reducción de la administración manual y el acceso interactivo
Los entornos operativos con privilegios no se virtualizan dentro de entornos operativos sin privilegios.
Las cuentas sin privilegios no pueden iniciar sesión en entornos operativos privilegiados.
Las cuentas con privilegios (excepto las cuentas de administrador local) no pueden iniciar sesión en entornos operativos sin privilegios.
Just-in-time la administración se utiliza para administrar sistemas y aplicaciones.	Tema 4: Gestionar identidades: Implemente la federación de identidades	Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder AWS mediante credenciales temporales Implemente un acceso elevado temporal a sus AWS entornos (AWS entrada del blog)	SEC02-BP04 Uso de un proveedor de identidades centralizado
Las actividades administrativas se llevan a cabo a través de servidores Jump.	Tema 1: Utilice servicios gestionados Tema 3: Gestione la infraestructura mutable con automatización: Utilice la automatización en lugar de los procesos manuales	Utilice el administrador de sesiones o Run Command en lugar del acceso directo por SSH o RDP	SEC01-BP05 Reduzca el alcance de la gestión de la seguridad SEC06-BP03 Reducción de la administración manual y el acceso interactivo
Las credenciales de las cuentas de administrador local y las cuentas de servicio son únicas, impredecibles y administrables.	Consulte el ejemplo técnico: restringir los privilegios administrativos (sitio web de la ACSC)	No aplicable	No aplicable
Windows Defender Credential Guard y Windows Defender Remote Credential Guard están habilitados.		No aplicable	No aplicable
El uso del acceso privilegiado se registra de forma centralizada y se protege contra modificaciones y eliminaciones no autorizadas, se monitorea para detectar signos de peligro y se actúa cuando se detectan eventos de ciberseguridad.	Tema 7: Centralizar el registro y la supervisión: Habilite el registro Tema 7: Centralizar el registro y la supervisión: Centralice los registros	Utilice el CloudWatch agente para publicar registros a nivel de sistema operativo en Logs CloudWatch Habilite CloudTrail para su organización Centralice CloudWatch los registros en una cuenta para su auditoría y análisis (AWS entrada de blog) Centralice la administración de Amazon Inspector Centralice la gestión de Security Hub Cree un agregador para toda la organización en AWS Config (entrada de blog)AWS Centralice la gestión de GuardDuty Considere la posibilidad de utilizar Amazon Security Lake Reciba CloudTrail registros de varias cuentas Envíe los registros a una cuenta de archivo de registros	SEC04-BP01 Configuración del registro de servicios y aplicaciones SEC04-BP02 Capture registros, hallazgos y métricas en ubicaciones estandarizadas
Los cambios en las cuentas y los grupos privilegiados se registran de forma centralizada y se protegen contra modificaciones o eliminaciones no autorizadas, se supervisan para detectar signos de peligro y se toman medidas cuando se detectan eventos de ciberseguridad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Fortalecimiento de las aplicaciones de usuario

Parchee los sistemas operativos