Administración de identidades de la fuerza laboral - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de identidades de la fuerza laboral

La gestión de la identidad de los empleados, que se ilustra en el siguiente diagrama, se refiere a la gestión del acceso humano a los recursos que ayudan a crear y gestionar las empresas dentro de la infraestructura y las aplicaciones de la nube. Permite aprovisionar, gestionar y eliminar el acceso de forma segura cuando los empleados se unen a una organización, cambian de puesto y abandonan la organización. Los administradores de identidades pueden crear identidades directamente en AWS o conectarse a un proveedor de identidades (IdP) externo para que los empleados puedan usar sus credenciales corporativas para acceder de forma segura a las cuentas y aplicaciones empresariales de AWS desde un solo lugar.

Administración de identidades de la fuerza laboral en AWS

Al utilizar AWS IAM Identity Center para gestionar el acceso a las aplicaciones gestionadas por AWS, puede beneficiarse de nuevas capacidades, como la propagación fiable de la identidad desde la aplicación de consulta al servicio de datos de AWS, y de nuevos servicios, como Amazon Q, que proporcionan una experiencia de usuario continua a medida que los usuarios pasan de un servicio compatible con Amazon Q a otro. El uso del Centro de identidad de IAM para el acceso a las cuentas de AWS impide la creación y el uso de usuarios de IAM, que tienen acceso a largo plazo a los recursos. En cambio, permite que las identidades de los empleados accedan a los recursos de las cuentas de AWS mediante credenciales temporales del Centro de identidades de IAM, lo que constituye una práctica recomendada de seguridad. Los servicios de administración de identidades de la fuerza laboral le permiten definir un control de acceso detallado para los recursos o las aplicaciones de AWS en su entorno de AWS multicuenta en función de funciones laborales o atributos de usuario específicos. Estos servicios también ayudan a auditar y revisar las actividades de los usuarios en su entorno de AWS.

AWS ofrece varias opciones para la administración de identidades y accesos de los empleados: AWS IAM Identity Center, IAM SAML federation y AWS Managed Microsoft AD. 

  • AWS IAM Identity Center es el servicio recomendado para gestionar el acceso del personal a las aplicaciones de AWS y a varias cuentas de AWS. Puede usar este servicio con una fuente de identidad existente, como Okta, Microsoft Entra ID o Active Directory local, o bien creando usuarios en su directorio. IAM Identity Center proporciona a todos los servicios de AWS un conocimiento compartido de los grupos y usuarios de su fuerza laboral. Las aplicaciones administradas de AWS se integran con él, por lo que no necesita conectar su fuente de identidad de forma individual a cada servicio, y puede administrar y ver el acceso de su fuerza laboral desde una ubicación central. Puede utilizar el Centro de identidades de IAM para gestionar el acceso a las aplicaciones de AWS y, al mismo tiempo, seguir utilizando la configuración establecida para acceder a las cuentas de AWS. Para los nuevos entornos con varias cuentas, el IAM Identity Center es el servicio recomendado para gestionar el acceso de sus empleados al entorno. Puede asignar permisos de forma uniforme en todas las cuentas de AWS y sus usuarios reciben acceso de inicio de sesión único en AWS.

  • Una forma alternativa de conceder a sus empleados acceso a las cuentas de AWS es mediante la federación IAM SAML 2.0. Esto implica crear one-to-one confianza entre el IDP de su organización y cada cuenta de AWS, y no se recomienda para entornos con varias cuentas. Dentro de su organización, debe tener un IdP compatible con SAML 2.0, como Microsoft Entra ID, Okta u otro proveedor de SAML 2.0 compatible.

  • Otra opción es usar Microsoft Active Directory (AD) como un servicio administrado para ejecutar cargas de trabajo compatibles con directorios en AWS. También puede configurar una relación de confianza entre AWS Managed Microsoft AD en la nube de AWS y su Microsoft Active Directory local existente, para proporcionar a los usuarios y grupos acceso a los recursos de cualquiera de los dominios mediante AWS IAM Identity Center.

Consideraciones sobre el diseño

  • Si bien en esta sección se analizan varios servicios y opciones, le recomendamos que utilice el IAM Identity Center para gestionar el acceso de los empleados, ya que presenta ventajas con respecto a los otros dos enfoques. En las secciones posteriores se analizan las ventajas y los casos de uso de los enfoques individuales. Un número cada vez mayor de aplicaciones administradas por AWS requieren el uso del IAM Identity Center. Si actualmente utiliza la federación de IAM, puede habilitar y usar el Centro de identidades de IAM con las aplicaciones de AWS sin cambiar las configuraciones existentes.

  • Para mejorar la resiliencia de la federación, le recomendamos que configure su IdP y la federación de AWS para que admitan varios puntos de enlace de inicio de sesión de SAML. Para obtener más información, consulte la entrada del blog de AWS Cómo utilizar los puntos de enlace SAML regionales para la conmutación por error