Recomendaciones de control de seguridad para gestionar la identidad y el acceso

Puede crear identidades en AWS una fuente de identidad externa o conectarse a ella. Mediante las políticas AWS Identity and Access Management (de IAM), se conceden a los usuarios los permisos necesarios para que puedan acceder a AWS los recursos y las aplicaciones integradas o gestionarlos. Una gestión eficaz de la identidad y el acceso ayuda a validar que las personas y las máquinas adecuadas tengan acceso a los recursos adecuados en las condiciones adecuadas. El AWS Well-Architected Framework proporciona las mejores prácticas para administrar las identidades y sus permisos. Los ejemplos de mejores prácticas incluyen confiar en un proveedor de identidad centralizado y utilizar mecanismos de inicio de sesión sólidos, como la autenticación multifactor (MFA). Los controles de seguridad de esta sección pueden ayudarte a implementar estas prácticas recomendadas.

Supervise y configure las notificaciones de la actividad del usuario root

Al crear una por primera vez Cuenta de AWS, se comienza con una identidad de inicio de sesión única denominada usuario raíz. De forma predeterminada, el usuario raíz tiene acceso total a todos Servicios de AWS los recursos de la cuenta. Debe controlar y supervisar rigurosamente al usuario raíz y usarlo solo para tareas que requieran credenciales de usuario raíz.

Para obtener más información, consulte los siguientes recursos:

• Otorgue el acceso con menos privilegios en el Well-Architected Framework AWS

• Supervise la actividad de los usuarios raíz de IAM en Prescriptive Guidance AWS

No crear claves de acceso para el usuario raíz

El usuario raíz es el usuario de Cuenta de AWS con más privilegios. La desactivación del acceso programático al usuario raíz ayuda a reducir el riesgo de que las credenciales del usuario queden expuestas de forma inadvertida y, posteriormente, de que se ponga en peligro el entorno de nube. Le recomendamos que cree y utilice funciones de IAM como credenciales temporales para acceder a sus recursos y a ellos. Cuentas de AWS

Para obtener más información, consulte los siguientes recursos:

• La clave de acceso del usuario raíz de IAM no debería figurar en la documentación AWS Security Hub

• Eliminar las claves de acceso del usuario raíz en la documentación de IAM

• Funciones de IAM en la documentación de IAM

Habilitar MFA para el usuario root

Le recomendamos que habilite varios dispositivos de autenticación multifactor (MFA) para Cuenta de AWS el usuario raíz y los usuarios de IAM. Esto eleva el nivel de seguridad Cuentas de AWS y puede simplificar la administración del acceso. Dado que un usuario root es un usuario con muchos privilegios que puede realizar acciones privilegiadas, es crucial requerir MFA para el usuario root. Puede usar un dispositivo MFA de hardware que genere un código numérico basado en el algoritmo de contraseña de un solo uso (TOTP) basada en el tiempo, una clave de seguridad de hardware FIDO o una aplicación de autenticación virtual.

En 2024, se requerirá la MFA para acceder al usuario raíz de cualquier usuario. Cuenta de AWS Para obtener más información, consulte Secure by Design: AWS para mejorar los requisitos de MFA en 2024 en el blog de AWS seguridad. Le recomendamos encarecidamente que amplíe esta práctica de seguridad y exija la MFA para todos los tipos de usuarios de sus AWS entornos.

Si es posible, le recomendamos que utilice un dispositivo MFA de hardware para el usuario root. Una aplicación de MFA virtual podría no proporcionar el mismo nivel de seguridad que un dispositivo MFA físico. Puede utilizar el MFA virtual mientras espera la aprobación o la entrega de la compra del hardware.

En situaciones en las que administras cientos de cuentas AWS Organizations, según la tolerancia al riesgo de tu organización, es posible que no sea escalable usar MFA basada en hardware para el usuario raíz de cada cuenta de una unidad organizativa (OU). En este caso, puede elegir una cuenta de la OU que actúe como cuenta de administración de la OU y, a continuación, deshabilitar al usuario raíz para las demás cuentas de esa OU. De forma predeterminada, la cuenta de administración de la unidad organizativa no tiene acceso a las demás cuentas. Si configura el acceso multicuenta por adelantado, podrá acceder a las demás cuentas desde la cuenta de administración de la OU en caso de emergencia. Para configurar el acceso entre cuentas, debe crear un rol de IAM en la cuenta del miembro y definir políticas para que solo el usuario raíz de la cuenta de administración de la OU pueda asumir este rol. Para obtener más información, consulte el tutorial: Delegar el acceso Cuentas de AWS mediante el uso de funciones de IAM en la documentación de IAM.

Le recomendamos que habilite varios dispositivos MFA para sus credenciales de usuario raíz. Puede registrar hasta ocho dispositivos MFA de cualquier combinación.

Para obtener más información, consulte los siguientes recursos:

• Habilitar un token TOTP de hardware en la documentación de IAM

• Habilitación de un dispositivo virtual de autenticación multifactor (MFA) en la documentación de IAM

• Habilitar una clave de seguridad FIDO en la documentación de IAM

• Proteja el inicio de sesión del usuario raíz con la autenticación multifactor (MFA) en la documentación de IAM

Siga las prácticas recomendadas de seguridad para IAM

La documentación de IAM incluye una lista de las mejores prácticas diseñadas para ayudarle a proteger sus recursos Cuentas de AWS . Incluye recomendaciones para configurar el acceso y los permisos de acuerdo con el principio del privilegio mínimo. Algunos ejemplos de prácticas recomendadas de seguridad de IAM incluyen la configuración de la federación de identidades, la exigencia de MFA y el uso de credenciales temporales.

Para obtener más información, consulte los siguientes recursos:

• Las mejores prácticas de seguridad en IAM en la documentación de IAM

• Uso de credenciales temporales con AWS los recursos de la documentación de IAM

Otorgue permisos con privilegios mínimos

El privilegio mínimo es la práctica de conceder solo los permisos necesarios para realizar una tarea. Para ello, defina las acciones que se pueden realizar en recursos específicos en condiciones específicas.

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los permisos en función de los atributos, como sus etiquetas. Puede utilizar los atributos de grupo, identidad y recursos para definir dinámicamente los permisos a escala, en lugar de definir permisos para usuarios individuales. Por ejemplo, puedes usar ABAC para permitir que un grupo de desarrolladores acceda solo a los recursos que tengan una etiqueta específica asociada a su proyecto.

Para obtener más información, consulte los siguientes recursos:

• Aplica los permisos con privilegios mínimos en la documentación de IAM

• ¿Para qué sirve ABAC en la documentación de IAM AWS

Defina las barreras de protección de permisos a nivel de carga de trabajo

La mejor práctica es utilizar una estrategia de cuentas múltiples, ya que proporciona flexibilidad para definir barreras a nivel de carga de trabajo. La arquitectura AWS de referencia de seguridad ofrece una guía prescriptiva sobre cómo estructurar las cuentas. Estas cuentas se administran como una organización y AWS Organizationsse agrupan en unidades organizativas (OUs).

Servicios de AWS, por ejemplo AWS Control Tower, pueden ayudarte a gestionar de forma centralizada los controles de una organización. Le recomendamos que defina un propósito claro para cada cuenta o unidad organizativa de la organización y que aplique los controles de acuerdo con ese propósito. AWS Control Tower implementa controles preventivos, de detección y proactivos que le ayudan a controlar los recursos y a supervisar el cumplimiento. Un control preventivo está diseñado para evitar que se produzca un evento. Un control de detección está diseñado para detectar, registrar y alertar después de que se haya producido un evento. Un control proactivo está diseñado para evitar el despliegue de recursos no conformes mediante el análisis de los recursos antes de su aprovisionamiento.

Para obtener más información, consulte los siguientes recursos:

• Separe las cargas de trabajo mediante cuentas del AWS Well-Architected Framework

• AWS La arquitectura de referencia de seguridad (AWS SRA) en una guía prescriptiva AWS

• Acerca de los controles AWS Control Tower en la documentación AWS Control Tower

• La implementación de los controles de seguridad figura AWS en la AWS Guía prescriptiva

• Utilice las políticas de control de servicios para establecer barreras de protección de permisos en todas las cuentas de su AWS organización en el blog de seguridad AWS

Cambie las claves de acceso de IAM a intervalos regulares

Se recomienda actualizar las claves de acceso para los casos de uso que requieren credenciales a largo plazo. Recomendamos rotar las claves de acceso cada 90 días o menos. La rotación de las claves de acceso reduce el riesgo de que se utilice una clave de acceso asociada a una cuenta comprometida o cancelada. También impide el acceso mediante el uso de una clave antigua que podría haberse perdido, estar en peligro o haber sido robada. Actualice siempre las aplicaciones después de girar las claves de acceso.

Para obtener más información, consulte los siguientes recursos:

• Actualice las claves de acceso cuando sea necesario para los casos de uso que requieran credenciales a largo plazo en la documentación de IAM

• Gire automáticamente las claves de acceso de los usuarios de IAM a escala con AWS Organizations y según la Guía AWS Secrets Manager prescriptiva AWS

• Actualización de las claves de acceso en la documentación de IAM

Identifique los recursos que se comparten con una entidad externa

Una entidad externa es un recurso, una aplicación, un servicio o un usuario que se encuentra fuera de AWS la organización, por ejemplo Cuentas de AWS, un usuario raíz, un usuario o rol de IAM, un usuario federado o un Servicio de AWS usuario anónimo (o no autenticado). Es una práctica recomendada de seguridad utilizar IAM Access Analyzer para identificar los recursos de la organización y las cuentas, como los depósitos de Amazon Simple Storage Service (Amazon S3) o las funciones de IAM, que se comparten con una entidad externa. Esto le ayuda a identificar el acceso no deseado a los recursos y los datos, lo que constituye un riesgo para la seguridad.

Para obtener más información, consulte los siguientes recursos:

• Verifique el acceso público y entre cuentas a los recursos con IAM Access Analyzer en la documentación de IAM

• Analice el acceso público y multicuenta en el AWS Well-Architected Framework

• Utilizándolo AWS Identity and Access Management Access Analyzer en la documentación de IAM