AWSGlosario de orientación prescriptiva

Los siguientes son términos de uso común en las estrategias, guías y patrones proporcionados porAWS Prescriptive Guidance. Para sugerir entradas, utilice el enlace Proporcionar comentarios al final del glosario.

Términos de redes

Availability Zone (Zona de disponibilidad): Una ubicación distinta dentro de unaRegión de AWS que está aislada de las fallas en otras zonas de disponibilidad y que proporciona conectividad de red económica y de baja latencia a otras zonas de disponibilidad de la misma región.
punto de conexión: Consulte punto de enlace de servicio.
servicio de punto de enlace: Un servicio que puede alojar en una nube virtual privada (VPC) para compartirlo con otros usuarios. Puede crear un servicio de punto finalAWS PrivateLink y conceder permisos a otrosCuentas de AWS o aAWS Identity and Access Management (IAM) principales. Estas cuentas o principales de pueden conectarse a su servicio de punto de conexión de forma privada mediante la creación de puntos de conexión de la VPC de interfaz. Para obtener más información, consulte Crear un servicio de punto de enlace en la documentación de Amazon Virtual Private Cloud (Amazon VPC).
Región: Una colección deAWS recursos en un área geográfica. Cada unoRegión de AWS está aislado e independiente de los demás para proporcionar tolerancia a las fallas, estabilidad y resiliencia. Para obtener más información, consulte AdministrarRegiones de AWS en Referencia general de AWS.
punto de enlace de servicio: La URL del punto de entrada de unServicio de AWS. Puede utilizar el punto de enlace para conectarse mediante programación al servicio de destino. Para obtener más información, consulte Servicio de AWSendpoints en Referencia general de AWS.
subred: Un intervalo de direcciones IP en la VPC. Una subred debe residir en una sola zona de disponibilidad.
gateway de tránsito: Un concentrador de tránsito de red que puede utilizar para interconectar las VPC y las redes locales. Para obtener más información, consulte ¿Qué es una gateway de tránsito? en laAWS Transit Gateway documentación.
Emparejamiento de VPC: Una conexión entre dos VPC que permite direccionar el tráfico mediante direcciones IP privadas. Para obtener más información, consulte ¿What is VPC Peering? en la documentación de Amazon VPC.

Términos de seguridad

control de acceso basado en atributos (ABAC): Práctica de crear permisos detallados en función de los atributos del usuario, como el departamento, el rol de trabajo y el nombre del equipo. Para obtener más información, consulte ABACAWS en la documentaciónAWS Identity and Access Management (IAM).
cifrado asimétrico: Algoritmo de cifrado que utiliza un par de claves, una clave pública para el cifrado y una clave privada para el descifrado. Puedes compartir la clave pública porque no se usa para el descifrado, pero el acceso a la clave privada debe estar muy restringido.
gráfico de comportamiento: Una vista unificada e interactiva del comportamiento y las interacciones de los recursos a lo largo del tiempo. Puede utilizar un gráfico de comportamiento con Amazon Detective para examinar los intentos fallidos de inicio de sesión, las llamadas sospechosas a la API y acciones similares. Para obtener más información, consulte Datos en un gráfico de comportamiento en la documentación de Detective.
cifrado de lado del cliente: Cifrado de datos localmente, antes de que el objetivo losServicio de AWS reciba.
paquete de conformidad de: Un conjunto deAWS Config reglas y acciones de corrección que puede recopilar para personalizar las comprobaciones de cumplimiento y seguridad. Puede implementar un paquete de conformidad como una única entidad en una regiónCuenta de AWS y, o en toda una organización, mediante una plantilla YAML. Para obtener más información, consulte Paquetes de conformidad en laAWS Config documentación.
datos en reposo: Datos estacionarios en la red, como los datos almacenados.
clasificación de datos: Proceso para identificar y clasificar los datos de la red en función de su criticidad y confidencialidad. Es un componente fundamental de cualquier estrategia de gestión de riesgos de ciberseguridad porque le ayuda a determinar los controles de protección y retención adecuados para los datos. La clasificación de datos es un componente del pilar de seguridad del FrameworkAWS Well-Architected. Para obtener más información, consulte Clasificación de datos.
datos en tránsito: Datos que se mueven activamente a través de la red, por ejemplo, entre los recursos de la red.
defense-in-depth: Un enfoque de seguridad de la información en el que se distribuyen cuidadosamente una serie de mecanismos y controles de seguridad en toda una red informática para proteger la confidencialidad, la integridad y la disponibilidad de la red y de los datos que contiene. Cuando se adopta esta estrategiaAWS, se añaden varios controles en diferentes capas de laAWS Organizations estructura para ayudar a proteger los recursos.
administrador delegado: EnAWS Organizations, un servicio compatible puede registrar una cuenta deAWS miembro para administrar las cuentas de la organización y gestionar los permisos de ese servicio. Esta cuenta se denomina administrador delegado de ese servicio. Para obtener más información y una lista de los servicios compatibles, consulte Servicios con los que funcionaAWS Organizations en laAWS Organizations documentación.
control de detección: Control de seguridad diseñado para detectar, registrar y alertar después de que se haya producido un evento. Estos controles son una segunda línea de defensa, ya que le avisan sobre eventos de seguridad que han pasado por alto los controles preventivos vigentes. Para obtener más información, consulte Controles de Detective en Implementación de controles de seguridad enAWS.
clave de cifrado: Cadena criptográfica de bits aleatorios que se genera mediante un algoritmo de cifrado. La longitud de las teclas puede variar y cada tecla está diseñada para ser impredecible y única.
servicio de punto de enlace: Un servicio que puede alojar en una nube virtual privada (VPC) para compartirlo con otros usuarios. Puede crear un servicio de punto de conexiónAWS PrivateLink y conceder permisos a otrosCuentas de AWS o a los directores de IAM. Estas cuentas o principales de pueden conectarse a su servicio de punto de conexión de forma privada mediante la creación de puntos de conexión de la VPC de interfaz. Para obtener más información, consulte Crear un servicio de punto de enlace en la documentación de Amazon VPC.
cifrado doble: Proceso de cifrado de una clave de cifrado con otra clave de cifrado. Para obtener más información, consulte Encriptación de sobres en la documentaciónAWS Key Management Service (AWS KMS).
restricciones geográficas (bloqueo geográfico): En Amazon CloudFront, una opción para impedir que los usuarios de países específicos accedan a las distribuciones de contenido. Puede utilizar una lista de permitidos o una lista de bloqueo para especificar los países aprobados y prohibidos. Para obtener más información, consulte Restringir la distribución geográfica del contenido en la CloudFront documentación.
guardarraíl: Una regla de alto nivel que ayuda a regular los recursos, las políticas y el cumplimiento en todas las unidades organizativas (OU). Las barreras preventivas hacen cumplir las políticas para garantizar la alineación con los estándares de cumplimiento. Se implementan mediante políticas de control de servicios y límites de permisos de IAM. Detective de detección detectan las infracciones de las políticas y los problemas de cumplimiento, y generan alertas para su corrección. Se implementan mediante AmazonAWS ConfigAWS Security Hub GuardDutyAWS Trusted Advisor, Amazon Inspector yAWS Lambda comprobaciones personalizadas.
política basada en identidades: Política adjunta a uno o más directores de IAM que define sus permisos en elNube de AWS entorno.
VPC de entrada (entrada): En una arquitectura deAWS cuentas múltiples, una VPC que acepta, inspecciona y enruta las conexiones de red desde fuera de una aplicación. La arquitecturaAWS de referencia de seguridad recomienda configurar la cuenta de red con VPC entrantes, salientes y de inspección para proteger la interfaz bidireccional entre la aplicación y el resto de Internet.
inspección VPC: En una arquitectura deAWS cuentas múltiples, una VPC centralizada que administra las inspecciones del tráfico de red entre las VPC (iguales o diferentesRegiones de AWS), Internet y las redes locales. La arquitecturaAWS de referencia de seguridad recomienda configurar la cuenta de red con VPC entrantes, salientes y de inspección para proteger la interfaz bidireccional entre la aplicación y el resto de Internet.
privilegio mínimo: La práctica recomendada de seguridad de conceder los permisos mínimos necesarios para realizar una tarea. Para obtener más información, consulte Aplicar permisos de privilegio mínimo en la documentación de IAM.
cuenta miembro: Todas lasCuentas de AWS demás, excepto la cuenta de administración, que forman parte de una organización enAWS Organizations. Una cuenta no puede pertenecer a más de una organización a la vez.
registro organizacional: Un registro creado por yAWS CloudTrail que registra todosCuentas de AWS los eventos de una organización enAWS Organizations. Este registro se crea en cada una de las cuentasCuenta de AWS que forman parte de la organización y hace un seguimiento de la actividad de cada cuenta. Para obtener más información, consulte Crear un registro de seguimiento para una organización en la CloudTrail documentación.
VPC de salida (salida): En una arquitectura deAWS cuentas múltiples, una VPC que gestiona las conexiones de red que se inician desde una aplicación. La arquitecturaAWS de referencia de seguridad recomienda configurar la cuenta de red con VPC entrantes, salientes y de inspección para proteger la interfaz bidireccional entre la aplicación y el resto de Internet.
control de acceso de origen (OAC): En CloudFront, una opción mejorada para restringir el acceso a fin de proteger su contenido de Amazon Simple Storage Service (Amazon S3). OAC admite todos los buckets de S3 enRegiones de AWS total, el cifrado del lado del servidor conAWS KMS (SSE-KMS)PUT yDELETE las solicitudes dinámicas al bucket de S3.
identidad de acceso de origen (OAI): En CloudFront, una opción para restringir el acceso a fin de proteger su contenido de Amazon S3. Cuando usa OAI, CloudFront crea un principal con el que Amazon S3 puede autenticarse. Los directores autenticados solo pueden acceder al contenido de un bucket de S3 a través de una CloudFront distribución específica. Consulte también OAC, que proporciona un control de acceso más detallado y mejorado.
límite de permisos: Una política de administración de IAM que se adjunta a los principales de IAM para establecer los permisos máximos que puede tener el usuario o el rol. Para obtener más información, consulte Límites de permisos en la documentación de IAM.
política: Objeto que puede definir los permisos (consultepolítica basada en identidades), especificar las condiciones de acceso (consultepolítica basada en recursos) o definir los permisos máximos para todas las cuentas de una organización enAWS Organizations (consulte la política de control de servicios).
control preventivo: Control de seguridad diseñado para evitar que se produzca un evento. Estos controles son una primera línea de defensa para ayudar a evitar el acceso no autorizado o los cambios no deseados en la red. Para obtener más información, consulte Controles preventivos en Implementación de controles de seguridad enAWS.
principal: Una entidad de AWS que puede realizar acciones y obtener acceso a los recursos. Esta entidad suele ser un usuario raíz de un rol de IAM o un usuario.Cuenta de AWS Para obtener más información, consulte Términos y conceptos de Principal in Roles en la documentación de IAM.
política basada en recursos: Una política asociada a un recurso, como un bucket de Amazon S3, un punto de enlace o una clave de cifrado. Este tipo de política especifica a qué directores se les permite el acceso, las acciones admitidas y cualquier otra condición que se deba cumplir.
control responsivo: Un control de seguridad diseñado para impulsar la corrección de eventos adversos o desviaciones con respecto a su línea de base de seguridad. Para obtener más información, consulte Controles adaptables en Implementación de controles de seguridad enAWS.
SAML 2.0: Un estándar abierto que utilizan muchos proveedores de identidad (IdPs). Esta característica permite el inicio de sesión único (SSO) federado para que los usuarios puedan iniciar sesión en laAWS Management Console o invocar las operaciones deAWS API de sin necesidad de crear un usuario en IAM para cada persona de la organización. Para obtener más información acerca de la federación basada en SAML 2.0, consulte Acerca de la federación basada en SAML 2.0 en la documentación de IAM.
control de seguridad: Una barrera técnica o administrativa que impide, detecta o reduce la capacidad de un actor de amenaza para aprovechar una vulnerabilidad de seguridad. Hay tres tipos principales de controles de seguridad: preventivos, de detección y responsivos.
refuerzo de seguridad: Proceso de reducir la superficie de ataque para hacerla más resistente a los ataques. Esto puede incluir acciones como eliminar los recursos que ya no se necesitan, implementar la práctica recomendada de seguridad de conceder el mínimo privilegio o desactivar las funciones innecesarias en los archivos de configuración.
sistema de gestión de eventos e información de seguridad (SIEM): Herramientas y servicios que combinan sistemas de administración de información de seguridad (SIM) y de administración de eventos de seguridad (SEM). Un sistema SIEM recopila, monitorea y analiza datos de servidores, redes, dispositivos y otras fuentes para detectar amenazas e infracciones de seguridad y generar alertas.
cifrado en el lado del servidor: Cifrado de datos en su destino porServicio de AWS quien los recibe.
política de control de servicios (SCP): Política que proporciona un control centralizado sobre los permisos de todas las cuentas de una organización enAWS Organizations. Los SCP definen barreras o establecen límites a las acciones que un administrador puede delegar a los usuarios o roles. Puede utilizar los SCP como listas de permitidos o de denegación para especificar qué servicios o acciones están permitidos o prohibidos. Para obtener más información, consulte Políticas de control de servicios en laAWS Organizations documentación.
modelo de responsabilidad compartida: Un modelo que describe la responsabilidad con la que usted comparte enAWS cuanto a la seguridad y el cumplimiento en la nube. AWSes responsable de la seguridad de la nube, mientras que usted es responsable de la seguridad en la nube. Para obtener más información, consulte el Modelo de responsabilidad compartida.
cifrado simétrico: Un algoritmo de cifrado que utiliza la misma clave para cifrar y descifrar los datos.
acceso de confianza: Conceder permisos a un servicio que especifique para realizar tareas en su organización enAWS Organizations y en las cuentas de esta en su nombre. El servicio de confianza crea un rol vinculado al servicio en cada cuenta, cuando ese rol es necesario, para realizar tareas de administración por usted. Para obtener más información, consulte UsoAWS Organizations con otrosAWS servicios en laAWS Organizations documentación.
carga de trabajo: Un conjunto de recursos y código que aporta valor empresarial, como una aplicación orientada al cliente o un proceso de backend.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Historial de documentos