Tema 4: Gestionar identidades

Cubrimos ocho estrategias esenciales

Restrinja los privilegios administrativos y la autenticación multifactorial

Una gestión sólida de la identidad y los permisos es un aspecto fundamental de la gestión de la seguridad en la nube. Las prácticas de identidad sólidas equilibran el acceso necesario y el mínimo privilegio. Esto ayuda a los equipos de desarrollo a actuar con rapidez sin comprometer la seguridad.

Utilice la federación de identidades para centralizar la gestión de las identidades. Esto facilita la administración del acceso a múltiples aplicaciones y servicios, ya que se administra el acceso desde una única ubicación. Esto también le ayuda a implementar permisos temporales y autenticación multifactor (MFA).

Otorgue a los usuarios solo los permisos que necesitan para realizar sus tareas. AWS Identity and Access Management Access Analyzer puede validar las políticas y verificar el acceso público y multicuenta. Funciones como las políticas de control de AWS Organizations servicios (SCPs), las condiciones de las políticas de IAM, los límites de los permisos de IAM y los conjuntos de AWS IAM Identity Center permisos pueden ayudarle a configurar un control de acceso detallado (FGAC).

Al realizar cualquier tipo de autenticación, lo mejor es utilizar credenciales temporales para reducir o eliminar los riesgos, como el hecho de que las credenciales se divulguen, se compartan o se roben de forma inadvertida. Utilice funciones de IAM en lugar de usuarios de IAM.

Utilice mecanismos de inicio de sesión sólidos, como la MFA, para mitigar el riesgo de que las credenciales de inicio de sesión se divulguen inadvertidamente o se adivinen fácilmente. Requiera MFA para el usuario raíz y también puede requerirlo a nivel de federación. Si el uso de usuarios de IAM es inevitable, aplique la MFA.

Para supervisar el cumplimiento e informar al respecto, debe trabajar continuamente para reducir los permisos, supervisar los resultados del IAM Access Analyzer y eliminar los recursos de IAM no utilizados. Utilice AWS Config reglas para asegurarse de que se apliquen mecanismos de inicio de sesión sólidos, que las credenciales sean efímeras y que se utilicen los recursos de IAM.

Mejores prácticas relacionadas en el AWS Well-Architected Framework

• SEC02-BP01 Utilice mecanismos de inicio de sesión sólidos

• SEC02-BP02 Uso de credenciales temporales

• SEC02-BP03 Almacenamiento y uso seguros de secretos

• SEC02-BP04 Uso de un proveedor de identidades centralizado

• SEC02-BP05 Auditoría y rotación periódicas de las credenciales

• SEC02-BP06 Uso de grupos y atributos de usuarios

• SEC03-BP01 Definición de los requisitos de acceso

• SEC03-BP02 Concesión de acceso con privilegios mínimos

• SEC03-BP03 Establezca un proceso de acceso de emergencia

• SEC03-BP04 Reducción continua de los permisos

• SEC03-BP05 Definición de las barreras de protección de los permisos para una organización

• SEC03-BP06 Administración del acceso en función del ciclo de vida

• SEC03-BP07 Análisis del acceso público y entre cuentas

• SEC03-BP08 Uso compartido de recursos de forma segura en su organización

Implementación de este tema

Implemente la federación de identidades

• Exija a los usuarios humanos que se federen con un proveedor de identidad para acceder AWS mediante credenciales temporales

• Implemente un acceso elevado temporal a sus entornos AWS

Aplicación de permisos de privilegio mínimo

• Proteja sus credenciales de usuario raíz y no las utilice para las tareas diarias

• Utilice IAM Access Analyzer para generar políticas de privilegios mínimos en función de la actividad de acceso

• Verifique el acceso público y multicuenta a los recursos con IAM Access Analyzer

• Utilice IAM Access Analyzer para validar sus políticas de IAM y obtener permisos seguros y funcionales

• Establezca barreras de protección de permisos en varias cuentas

• Usa los límites de los permisos para establecer el número máximo de permisos que puede conceder una política basada en la identidad

• Utilice las condiciones de las políticas de IAM para restringir aún más el acceso

• Revise y elimine periódicamente los usuarios, roles, permisos, políticas y credenciales no utilizados

• Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos

• Utilice la función de conjuntos de permisos del Centro de identidades de IAM

Rote las credenciales

• Exija que las cargas de trabajo utilicen las funciones de IAM para acceder AWS

• Automatice la eliminación de las funciones de IAM no utilizadas

• Cambie las claves de acceso con regularidad para los casos de uso que requieran credenciales a largo plazo

Aplique la MFA

• Requerir MFA para el usuario root

• Requerir MFA a través del centro de identidad de IAM

• Considere la posibilidad de requerir MFA para las acciones de API específicas del servicio

Supervisión de este tema

Supervise el acceso con privilegios mínimos

• Envíe las conclusiones del IAM Access Analyzer a AWS Security Hub

• Considere la posibilidad de configurar notificaciones para los hallazgos críticos del IAM Identity Center

• Revise periódicamente los informes de credenciales de su Cuentas de AWS

Implemente las siguientes reglas AWS Config

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED