Cambie automáticamente las claves de acceso de los usuarios de IAM a escala con AWS Organizations y AWS Secrets Manager

PDF

Creado por Tracy Hickey (AWS), Gaurav Verma (AWS), Laura Seletos (AWS), Michael Davie (AWS) y Arvind Patel (AWS)

Resumen

importante Como práctica recomendada, AWS recomienda utilizar las funciones de AWS Identity and Access Management (IAM) en lugar de usuarios de IAM con credenciales a largo plazo, como claves de acceso. El enfoque documentado en este patrón está destinado únicamente a las implementaciones heredadas que requieren credenciales de API de AWS de larga duración. Para estas implementaciones, le recomendamos que considere opciones para usar credenciales a corto plazo, como los perfiles de instancia de Amazon Elastic Compute Cloud (Amazon EC2) o los roles de IAM Anywhere. El enfoque de este artículo es solo para los casos en los que no pueda cambiar a usar credenciales de corta duración de forma inmediata y necesite que las credenciales de larga duración se roten según un cronograma. Con este enfoque, usted es responsable de actualizar periódicamente el código o la configuración de su aplicación antigua para utilizar las credenciales de API rotadas.

Las claves de acceso son credenciales a largo plazo para un usuario de IAM. La rotación periódica de sus credenciales de IAM ayuda a evitar que un conjunto comprometido de claves de acceso de IAM acceda a los componentes de su cuenta de AWS. La rotación de las credenciales de IAM también es una parte importante de las prácticas recomendadas de seguridad en IAM.

Este patrón le ayuda a rotar automáticamente las claves de acceso de IAM mediante CloudFormation plantillas de AWS, que se proporcionan en el repositorio de rotación de claves de GitHub IAM.

El patrón admite la implementación en una o varias cuentas. Si utiliza AWS Organizations, esta solución identifica todas las cuentas de AWS de su IDs organización y se escala de forma dinámica a medida que se eliminan las cuentas o se crean nuevas cuentas. La función centralizada de AWS Lambda utiliza un rol de IAM asumido para ejecutar localmente las funciones de rotación en varias cuentas que seleccione.

• Las nuevas claves de acceso de IAM se generan cuando las claves de acceso existentes tienen 90 días de antigüedad. 

• Las nuevas claves de acceso se almacenan en secreto en AWS Secrets Manager. Una política basada en recursos permite que solo la entidad principal de IAM especificada acceda al secreto y lo recupere. Si decide almacenar las claves en la cuenta de administración, las claves de todas las cuentas se almacenan en la cuenta de administración.

• La dirección de correo electrónico asignada al propietario de la cuenta de AWS en la que se crearon las nuevas claves de acceso recibe una notificación.

• Las claves de acceso anteriores se desactivan a los 100 días y, a continuación, se eliminan a los 110 días.

• Se envía una notificación centralizada por correo electrónico al propietario de la cuenta de AWS.

Las funciones de Lambda y Amazon realizan estas acciones CloudWatch automáticamente. A continuación, puede recuperar el nuevo par de claves de acceso y sustituirlas en el código o las aplicaciones. Los períodos de rotación, eliminación y desactivación se pueden personalizar.

Requisitos previos y limitaciones

• Al menos una cuenta de AWS activa.

• AWS Organizations, configuración y puesta en marcha (consulte el tutorial).

• Permisos para consultar AWS Organizations desde su cuenta de administración. Para obtener más información, consulte AWS Organizations y roles vinculados a servicios en la documentación de AWS Organizations.

• Un director de IAM que tiene permisos para lanzar la CloudFormation plantilla de AWS y los recursos asociados. Para obtener más información, consulte Otorgar permisos autogestionados en la CloudFormation documentación de AWS.

• Un bucket de Amazon Simple Storage Service (Amazon S3) para implementar los recursos.

• Amazon Simple Email Service (Amazon SES) salió del entorno aislado. Para obtener más información, consulte Salida del entorno aislado de Amazon SES en la documentación de Amazon SES.

• Si decide ejecutar Lambda en una nube privada virtual (VPC), debe crear los siguientes recursos antes de ejecutar la plantilla principal: CloudFormation

  • Una VPC.

  • Una subred

  • Puntos de conexión para Amazon SES, AWS Systems Manager, AWS Security Token Service (AWS STS), Amazon S3 y AWS Secrets Manager. (Puede ejecutar la plantilla de punto final que se proporciona en el repositorio de rotación de claves de GitHub IAM para crear estos puntos de enlace).

• El usuario y la contraseña del Protocolo simple de transferencia de correo (SMTP) almacenados en los parámetros de AWS Systems Manager (parámetros SSM). Los parámetros deben coincidir con los parámetros de la CloudFormation plantilla principal.

Arquitectura

Pila de tecnología

• Amazon CloudWatch

• Amazon EventBridge

• IAM

• AWS Lambda

• AWS Organizations 

• Amazon S3

Arquitectura

Los siguientes diagramas muestran los componentes y flujos de trabajo de este patrón. La solución admite dos escenarios para almacenar las credenciales: en una cuenta de miembro y en la cuenta de administración.

Opción 1: almacenar las credenciales en una cuenta de miembro

Opción 2: almacenar las credenciales en la cuenta de administración

Los diagramas muestran el siguiente flujo de trabajo:

1. Un EventBridge evento inicia una función account_inventory Lambda cada 24 horas.

2. Esta función de Lambda consulta a AWS Organizations una lista de todas las cuentas IDs, nombres de cuentas y correos electrónicos de cuentas de AWS. 

3. La función de Lambda account_inventory inicia una función de Lambda access_key_auto_rotation para cada ID de cuenta de AWS y le pasa los metadatos para su procesamiento adicional.

4. La función de Lambda access_key_auto_rotation utiliza un rol de IAM asumido para acceder al ID de la cuenta de AWS. El script de Lambda ejecuta una auditoría de todos los usuarios y sus claves de acceso de IAM en la cuenta. 

5. Si la antigüedad de la clave de acceso de IAM no ha superado el umbral de las prácticas recomendadas, la función de Lambda no realiza ninguna otra acción.

6. Si la antigüedad de la clave de acceso de IAM ha superado el umbral de las prácticas recomendadas, la función de Lambda access_key_auto_rotation determina qué acción de rotación se debe realizar.

7. Cuando es necesario realizar alguna acción, la función de Lambda access_key_auto_rotation crea y actualiza un secreto en AWS Secrets Manager si se genera una clave nueva. También se crea una política basada en recursos que sólo permite a la entidad principal de seguridad IAM especificada acceder al secreto y recuperarlo. En el caso de la opción 1, las credenciales se almacenan en Secrets Manager en la cuenta correspondiente. En el caso de la opción 2 (si la marca StoreSecretsInCentralAccount está establecida en True), las credenciales se almacenan en Secrets Manager, en la cuenta de administración. 

8. Se inicia una función de Lambda notifier para notificar la actividad de rotación al propietario de la cuenta. Esta función recibe el ID de la cuenta de AWS, el nombre de la cuenta, el correo electrónico de la cuenta y las acciones de rotación que se realizaron. 

9. La función de Lambda notifier consulta el bucket de S3 de implementación en busca de una plantilla de correo electrónico y la actualiza dinámicamente con los metadatos de actividad pertinentes. Luego, el correo electrónico se envía a la dirección de correo electrónico del propietario de la cuenta.

Notas:

• Esta solución es compatible con la resiliencia en varias zonas de disponibilidad. Sin embargo, no admite la resiliencia en varias regiones de AWS. Para obtener soporte en varias regiones, puede implementar la solución en la segunda región y mantener desactivada la EventBridge regla de rotación de claves. A continuación, puede activar la regla cuando desee ejecutar la solución en la segunda región.

• Puede ejecutar esta solución en modo auditoría. En el modo de auditoría, las claves de acceso de IAM no se modifican, pero se envía un correo electrónico para notificar a los usuarios. Para ejecutar la solución en modo auditoría, defina la marca DryRunFlag en True cuando ejecute la plantilla de rotación de claves o en la variable de entorno de la función de Lambda access_key_auto_rotation.

Automatizar y escalar

Las CloudFormation plantillas que automatizan esta solución se proporcionan en el repositorio de rotación de claves de GitHub IAM y se enumeran en la sección Código. En AWS Organizations, puede utilizarla CloudFormation StackSetspara implementar la ASA-iam-key-auto-rotation-iam-assumed-roles.yaml CloudFormation plantilla en varias cuentas en lugar de implementar la solución de forma individual en cada cuenta de miembro. 

Herramientas

Servicios de AWS

• Amazon le CloudWatch ayuda a monitorizar las métricas de sus recursos de AWS y las aplicaciones que ejecuta en AWS en tiempo real.

• AWS Identity and Access Management (IAM) le permite administrar de forma segura el acceso a los recursos de AWS mediante el control de quién está autenticado y autorizado a utilizarlos.

• AWS Lambda es un servicio de computación que ayuda a ejecutar código sin necesidad de aprovisionar ni administrar servidores. Ejecuta el código solo cuando es necesario y amplía la capacidad de manera automática, por lo que solo pagará por el tiempo de procesamiento que utilice.

• AWS Organizations es un servicio de administración de cuentas que le permite agrupar varias cuentas de AWS en una organización que usted crea y administra de manera centralizada.

• AWS Secrets Manager le permite reemplazar las credenciales codificadas en el código, incluidas las contraseñas, con una llamada a la API de Secrets Manager para recuperar el secreto mediante programación.

• Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos basado en la nube que le ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.

• Amazon Simple Email Service (Amazon SES) facilita poder enviar y recibir correos electrónicos a través de los dominios y direcciones de correo electrónico propios.

• Amazon Simple Notification Service (Amazon SNS) le permite coordinar y administrar el intercambio de mensajes entre publicadores y clientes, incluidos los servidores web y las direcciones de correo electrónico.

• Amazon Virtual Private Cloud (Amazon VPC) le permite lanzar recursos de AWS en una red virtual que haya definido. Esta red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS. 

• Los puntos de enlace de Amazon VPC proporcionan una interfaz para conectarse a los servicios impulsados por AWS PrivateLink, incluidos muchos servicios de AWS. Para cada subred que especifique de su VPC, se crea una interfaz de red de punto de conexión en la subred y se le asigna una dirección IP privada del intervalo de direcciones de la subred. 

Código

CloudFormation Las plantillas de AWS, los scripts de Python y la documentación de runbook necesarios están disponibles en el repositorio de rotación de claves de GitHub IAM. Las plantillas se implementan de la siguiente manera.

Plantilla	Implementar en	Notas
ASA-iam-key-auto-rotation-and-notifier-solution.yaml	Cuenta de implementación	Esta es la plantilla principal de la solución.
ASA-iam-key-auto-rotation-iam-assumed-roles.yaml	Cuentas de uno o varios miembros en las que desee rotar las credenciales	Puede utilizar conjuntos de CloudFormation pilas para implementar esta plantilla en varias cuentas.
ASA-iam-key-auto-rotation-list-accounts-role.yaml	Cuenta central/gestión	Utilice esta plantilla para mantener un inventario de las cuentas en AWS Organizations.
ASA-iam-key-auto-rotation-vpc-endpoints.yaml	Cuenta de implementación	Utilice esta plantilla para automatizar la creación de puntos de conexión solo si desea ejecutar las funciones de Lambda en una VPC (establezca el parámetro RunLambdaInVPC en True en la plantilla principal).

Epics

Configurar la solución

Tarea	Descripción	Habilidades requeridas
Elija su bucket de S3 de implementación.	Inicie sesión en la consola de administración de AWS de su cuenta, abra la consola de Amazon S3 y, a continuación, elija el bucket de S3 para su implementación. Si desea implementar la solución para varias cuentas en AWS Organizations, inicie sesión en la cuenta de administración de su organización.	Arquitecto de la nube
Clonar el repositorio.	Clona el repositorio de rotación de claves de GitHub IAM en tu escritorio local.	Arquitecto de la nube
Carguar archivos en el bucket de S3.	Suba los archivos clonados a su bucket de S3. Use la siguiente estructura de carpetas predeterminada para copiar y pegar todos los archivos y directorios clonados: asa/asa-iam-rotation nota Puede personalizar esta estructura de carpetas en las CloudFormation plantillas.	Arquitecto de la nube
Modifique la plantilla de correo electrónico.	Modifique la plantilla de correo electrónico iam-auto-key-rotation-enforcement.html (que se encuentra en la carpeta template) según sus necesidades. Sustituya [Department Name Here] al final de la plantilla por el nombre de su departamento.	Arquitecto de la nube

Configurar la solución

Tarea	Descripción	Habilidades requeridas
Elija su bucket de S3 de implementación.	Inicie sesión en la consola de administración de AWS de su cuenta, abra la consola de Amazon S3 y, a continuación, elija el bucket de S3 para su implementación. Si desea implementar la solución para varias cuentas en AWS Organizations, inicie sesión en la cuenta de administración de su organización.	Arquitecto de la nube
Clonar el repositorio.	Clona el repositorio de rotación de claves de GitHub IAM en tu escritorio local.	Arquitecto de la nube
Carguar archivos en el bucket de S3.	Suba los archivos clonados a su bucket de S3. Use la siguiente estructura de carpetas predeterminada para copiar y pegar todos los archivos y directorios clonados: asa/asa-iam-rotation nota Puede personalizar esta estructura de carpetas en las CloudFormation plantillas.	Arquitecto de la nube
Modifique la plantilla de correo electrónico.	Modifique la plantilla de correo electrónico iam-auto-key-rotation-enforcement.html (que se encuentra en la carpeta template) según sus necesidades. Sustituya [Department Name Here] al final de la plantilla por el nombre de su departamento.	Arquitecto de la nube

Implementar la solución.

Tarea	Descripción	Habilidades requeridas
Inicie la CloudFormation plantilla para la rotación de claves.	Inicie la plantilla ASA-iam-key-auto-rotation-and-notifier-solution.yaml en la cuenta de implementación. Para obtener más información, consulte Selección de una plantilla de pila en la CloudFormation documentación. Especifique los valores de los parámetros, entre los que se incluyen: CloudFormation Nombre del depósito de S3 (S3BucketName): el nombre del depósito de S3 de despliegue que contiene el código Lambda. CloudFormation Prefijo del bucket de S3 (S3BucketPrefix): prefijo del bucket de S3. Nombre de rol de IAM asumido (IAMRoleName): el nombre del rol que asumirá la función de Lambda key-rotation para rotar las claves. Nombre de la función de ejecución de IAM (ExecutionRoleName): nombre de la función de ejecución de IAM que utiliza la función de Lambda key-rotation. Nombre de la función de ejecución de IAM (InventoryExecutionRoleName): nombre de la función de ejecución de IAM que utiliza la función de Lambda account_inventory. Marca de ejecución en seco (modo auditoría) (DryRunFlag): establézcalo en True para activar el modo de auditoría (predeterminado). Configúrelo en False para activar el modo de aplicación. Cuenta para enumerar las cuentas de la organización (OrgListAccount): el ID de cuenta de la cuenta central o de administración que se utilizará para enumerar las cuentas de la organización. Nombre del rol de la lista de cuentas (OrgListRole): el nombre del rol que se utilizará para enumerar las cuentas de la organización. Marca de almacenamiento de secretos para la cuenta central (StoreSecretsInCentralAccount): se establece en True para almacenar los secretos en la cuenta central. Configúrelo en False para almacenar los secretos en la cuenta correspondiente. Regiones para replicar las credenciales (CredentialReplicationRegions): las regiones de AWS en las que desea replicar las credenciales (Secrets Manager), separadas por comas; por ejemplo, us-east-2,us-west-1,us-west-2. Omita la región en la que está creando la pila. Ejecutar Lambda en VPC (RunLambdaInVpc): se establece en True para ejecutar funciones de Lambda en una VPC específica. Debe haber creado puntos de conexión de VPC y conectar una puerta de enlace NAT a la subred que contiene la función de Lambda. Para más información, consulte el artículo de re:Post sobre esta opción. ID de la VPC para las funciones de Lambda (VpcId), CIDR de VPC para la regla de grupo de seguridad (VpcCidr) e ID de subred para las funciones de Lambda (SubnetId): proporcione información sobre la VPC, el CIDR y la subred si establece RunLambdaInVpc en True. Dirección de correo electrónico del administrador (AdminEmailAddress): una dirección de correo electrónico válida a la que enviar notificaciones. ID de AWS Organizations (AWSOrgID): el identificador único de su organización. Este identificador comienza con o- y va seguido de entre 10 y 32 letras en minúscula o dígitos. Nombre del archivo de plantilla de correo electrónico [Modo auditoría] (EmailTemplateAudit) y [Modo aplicar] (EmailTemplateEnforce): nombre del archivo de la plantilla HTML de correo electrónico que el módulo notifier enviará para los modos de auditoría y cumplimiento. Nombre del parámetro SSM del usuario SMTP (SMTPUserParamName) y nombre del parámetro SSM de la contraseña SMTP (SMTPPasswordParamName): información de usuario y contraseña del Protocolo simple de transferencia de correo (SMTP).	Arquitecto de la nube
Inicie la CloudFormation plantilla para los roles asumidos.	En la CloudFormation consola de AWS, ejecute la ASA-iam-key-auto-rotation-iam-assumed-roles.yaml plantilla para cada cuenta en la que desee rotar las claves. Si tiene más de una cuenta, puede implementar la CloudFormation plantilla principal en su cuenta de administración como una pila e implementar la ASA-iam-key-auto-rotation-iam-assumed-roles.yaml plantilla con los conjuntos de CloudFormation pilas en todas las cuentas requeridas. Para obtener más información, consulte Trabajar con AWS CloudFormation StackSets en la CloudFormation documentación. Especifique los valores de los siguientes parámetros: Nombre de rol de IAM asumido (IAMRoleName): el nombre del rol IAM que será asumido por la función access_key_auto_rotation de Lambda. Puede mantener el valor predeterminado. Nombre del rol de ejecución de IAM (ExecutionRoleName): el rol de IAM que asumirá el rol de subcuenta para ejecutar la función de Lambda. ID de cuenta principal de AWS (PrimaryAccountID): el ID de cuenta de AWS en el que se implementará la plantilla principal.  Grupo de exención de IAM (IAMExemptionGroup): el nombre del grupo de IAM que se utiliza para facilitar la exclusión de las cuentas de IAM de la rotación automática de claves.	Arquitecto de la nube
Inicie la CloudFormation plantilla para el inventario de cuentas.	Inicie la plantilla ASA-iam-key-auto-rotation-list-accounts-role.yaml en la cuenta central o de administración Especifique los valores de los siguientes parámetros: Nombre de rol de IAM asumido (IAMRoleName): el nombre del rol IAM que asumirá la función access_key_auto_rotation de Lambda. Nombre del rol de ejecución de IAM para la cuenta de Lambda (AccountExecutionRoleName): el nombre del rol de IAM que asumirá la función notifier de Lambda. Nombre del rol de ejecución de IAM para la rotación Lambda (RotationExecutionRoleName): nombre del rol de IAM que asumirá la función de Lambda access_key_auto_rotation. ID de cuenta principal de AWS (PrimaryAccountID): el ID de cuenta de AWS en el que se implementará la plantilla principal.	Arquitecto de la nube
Inicie la CloudFormation plantilla para los puntos finales de la VPC.	Esta tarea es opcional. Inicie la plantilla ASA-iam-key-auto-rotation-vpc-endpoints.yaml en la cuenta de implementación.  Especifique los valores de los siguientes parámetros: ID de VPC (pVpcId), ID de subred (pSubnetId) e intervalo de CIDR para la VPC (pVPCCidr): proporcionan información sobre la VPC, el CIDR y la subred. Establezca el parámetro para cada punto de conexión de VPC en True. Si ya tiene puntos de conexión, puede elegir False.	Arquitecto de la nube

Implementar la solución.

Tarea	Descripción	Habilidades requeridas
Inicie la CloudFormation plantilla para la rotación de claves.	Inicie la plantilla ASA-iam-key-auto-rotation-and-notifier-solution.yaml en la cuenta de implementación. Para obtener más información, consulte Selección de una plantilla de pila en la CloudFormation documentación. Especifique los valores de los parámetros, entre los que se incluyen: CloudFormation Nombre del depósito de S3 (S3BucketName): el nombre del depósito de S3 de despliegue que contiene el código Lambda. CloudFormation Prefijo del bucket de S3 (S3BucketPrefix): prefijo del bucket de S3. Nombre de rol de IAM asumido (IAMRoleName): el nombre del rol que asumirá la función de Lambda key-rotation para rotar las claves. Nombre de la función de ejecución de IAM (ExecutionRoleName): nombre de la función de ejecución de IAM que utiliza la función de Lambda key-rotation. Nombre de la función de ejecución de IAM (InventoryExecutionRoleName): nombre de la función de ejecución de IAM que utiliza la función de Lambda account_inventory. Marca de ejecución en seco (modo auditoría) (DryRunFlag): establézcalo en True para activar el modo de auditoría (predeterminado). Configúrelo en False para activar el modo de aplicación. Cuenta para enumerar las cuentas de la organización (OrgListAccount): el ID de cuenta de la cuenta central o de administración que se utilizará para enumerar las cuentas de la organización. Nombre del rol de la lista de cuentas (OrgListRole): el nombre del rol que se utilizará para enumerar las cuentas de la organización. Marca de almacenamiento de secretos para la cuenta central (StoreSecretsInCentralAccount): se establece en True para almacenar los secretos en la cuenta central. Configúrelo en False para almacenar los secretos en la cuenta correspondiente. Regiones para replicar las credenciales (CredentialReplicationRegions): las regiones de AWS en las que desea replicar las credenciales (Secrets Manager), separadas por comas; por ejemplo, us-east-2,us-west-1,us-west-2. Omita la región en la que está creando la pila. Ejecutar Lambda en VPC (RunLambdaInVpc): se establece en True para ejecutar funciones de Lambda en una VPC específica. Debe haber creado puntos de conexión de VPC y conectar una puerta de enlace NAT a la subred que contiene la función de Lambda. Para más información, consulte el artículo de re:Post sobre esta opción. ID de la VPC para las funciones de Lambda (VpcId), CIDR de VPC para la regla de grupo de seguridad (VpcCidr) e ID de subred para las funciones de Lambda (SubnetId): proporcione información sobre la VPC, el CIDR y la subred si establece RunLambdaInVpc en True. Dirección de correo electrónico del administrador (AdminEmailAddress): una dirección de correo electrónico válida a la que enviar notificaciones. ID de AWS Organizations (AWSOrgID): el identificador único de su organización. Este identificador comienza con o- y va seguido de entre 10 y 32 letras en minúscula o dígitos. Nombre del archivo de plantilla de correo electrónico [Modo auditoría] (EmailTemplateAudit) y [Modo aplicar] (EmailTemplateEnforce): nombre del archivo de la plantilla HTML de correo electrónico que el módulo notifier enviará para los modos de auditoría y cumplimiento. Nombre del parámetro SSM del usuario SMTP (SMTPUserParamName) y nombre del parámetro SSM de la contraseña SMTP (SMTPPasswordParamName): información de usuario y contraseña del Protocolo simple de transferencia de correo (SMTP).	Arquitecto de la nube
Inicie la CloudFormation plantilla para los roles asumidos.	En la CloudFormation consola de AWS, ejecute la ASA-iam-key-auto-rotation-iam-assumed-roles.yaml plantilla para cada cuenta en la que desee rotar las claves. Si tiene más de una cuenta, puede implementar la CloudFormation plantilla principal en su cuenta de administración como una pila e implementar la ASA-iam-key-auto-rotation-iam-assumed-roles.yaml plantilla con los conjuntos de CloudFormation pilas en todas las cuentas requeridas. Para obtener más información, consulte Trabajar con AWS CloudFormation StackSets en la CloudFormation documentación. Especifique los valores de los siguientes parámetros: Nombre de rol de IAM asumido (IAMRoleName): el nombre del rol IAM que será asumido por la función access_key_auto_rotation de Lambda. Puede mantener el valor predeterminado. Nombre del rol de ejecución de IAM (ExecutionRoleName): el rol de IAM que asumirá el rol de subcuenta para ejecutar la función de Lambda. ID de cuenta principal de AWS (PrimaryAccountID): el ID de cuenta de AWS en el que se implementará la plantilla principal.  Grupo de exención de IAM (IAMExemptionGroup): el nombre del grupo de IAM que se utiliza para facilitar la exclusión de las cuentas de IAM de la rotación automática de claves.	Arquitecto de la nube
Inicie la CloudFormation plantilla para el inventario de cuentas.	Inicie la plantilla ASA-iam-key-auto-rotation-list-accounts-role.yaml en la cuenta central o de administración Especifique los valores de los siguientes parámetros: Nombre de rol de IAM asumido (IAMRoleName): el nombre del rol IAM que asumirá la función access_key_auto_rotation de Lambda. Nombre del rol de ejecución de IAM para la cuenta de Lambda (AccountExecutionRoleName): el nombre del rol de IAM que asumirá la función notifier de Lambda. Nombre del rol de ejecución de IAM para la rotación Lambda (RotationExecutionRoleName): nombre del rol de IAM que asumirá la función de Lambda access_key_auto_rotation. ID de cuenta principal de AWS (PrimaryAccountID): el ID de cuenta de AWS en el que se implementará la plantilla principal.	Arquitecto de la nube
Inicie la CloudFormation plantilla para los puntos finales de la VPC.	Esta tarea es opcional. Inicie la plantilla ASA-iam-key-auto-rotation-vpc-endpoints.yaml en la cuenta de implementación.  Especifique los valores de los siguientes parámetros: ID de VPC (pVpcId), ID de subred (pSubnetId) e intervalo de CIDR para la VPC (pVPCCidr): proporcionan información sobre la VPC, el CIDR y la subred. Establezca el parámetro para cada punto de conexión de VPC en True. Si ya tiene puntos de conexión, puede elegir False.	Arquitecto de la nube

Recursos relacionados

• Prácticas recomendadas de seguridad en IAM (documentación de IAM)

• AWS Organizations y roles vinculados al servicio (documentación sobre AWS Organizations)

• Selección de una plantilla de pila (documentación) CloudFormation

• Trabajar con AWS CloudFormation StackSets (CloudFormation documentación)