AWS Identity and Access Management controles - AWS Security Hub
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas[IAM.9] La MFA debe estar habilitada para el usuario raíz[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una duración estricta AWS Config[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support[IAM.19] MFA se debe habilitar para todos los usuarios de IAM [IAM.20] Evite el uso del usuario raíz[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Identity and Access Management controles

Estos controles están relacionados con los recursos de IAM.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS Foundations Benchmark v1.4.0/1.16, Nist.800-53.r5 AC-2, Nist.800-53.r5 AC-2 (1), Nist.800-53.r5 AC-3 (15), Nist.800-53.r5 AC-3 (15), Nist.800-53.r5 AC-3 (15) 7), NiSt.800-53.r5 AC-5, NiSt.800-53.r5 AC-6, NiSt.800-53.r5 AC-6 (10), NiSt.800-53.r5 AC-6 (2), NiSt.800-53.r5 AC-6 (3) AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: alta

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config : iam-policy-no-statements-with-admin-access

Tipo de horario: provocado por un cambio

Parámetros:

  • excludePermissionBoundaryPolicy: true (no personalizable)

Este control comprueba si la versión predeterminada de las políticas de IAM (también conocidas como políticas administradas por el cliente) tiene acceso de administrador con una instrucción que tenga "Effect": "Allow" con "Action": "*" en "Resource": "*". El control falla si tiene políticas de IAM con una declaración de este tipo.

El control solo comprueba las políticas administradas por el cliente que haya creado usted. No comprueba las políticas integradas y AWS gestionadas.

Las políticas de IAM definen un conjunto de privilegios concedidos a usuarios, grupos o roles. Siguiendo los consejos de seguridad estándar, se AWS recomienda conceder los privilegios mínimos, es decir, conceder únicamente los permisos necesarios para realizar una tarea. Cuando proporciona privilegios administrativos completos en lugar del conjunto mínimo de permisos que necesita el usuario, expone los recursos a acciones potencialmente no deseadas.

En lugar de concederles privilegios administrativos totales, determine las tareas que tienen que realizar los usuarios y elabore políticas al respecto para permitir a los usuarios realizar solo esas tareas. Es más seguro comenzar con un conjunto mínimo de permisos y conceder permisos adicionales según sea necesario. No comience con permisos demasiado indulgentes para luego restringirlos más adelante.

Debe quitar las políticas de IAM que tienen una instrucción con "Effect": "Allow" y "Action": "*" en "Resource": "*".

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para modificar sus políticas de IAM de manera que no permitan todos los privilegios administrativos “*”, consulte Edición de políticas de IAM en la Guía del usuario de IAM.

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.16, Nist.800-53.r5 AC-2, Nist.800-53.r5 AC-2 (1), Nist.800-53.r5 AC-3, Nist.800-53.r5 AC-3 (15), Nist.800-53.r5 AC-3 (7), Nist.800-53.r5 5 AC-6, NiST.800-53.R5 AC-6 (3)

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : iam-user-no-policies-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si sus usuarios de IAM tienen políticas asociadas. El control falla si los usuarios de IAM tienen políticas asociadas. Los usuarios de IAM deben heredar los permisos de los grupos de IAM o asumir un rol.

De forma predeterminada, los usuarios, grupos y roles de IAM no tienen acceso a AWS los recursos. Las políticas de IAM conceden privilegios a los usuarios, grupos o roles. Recomendamos aplicar políticas de IAM directamente a grupos y roles, pero no a los usuarios. La asignación de privilegios en el nivel de grupo o rol reduce la complejidad de la administración del acceso a medida que crece el número de usuarios. A su vez, la reducción de la complejidad de la administración del acceso podría reducir la oportunidad de que una entidad principal reciba o conserve accidentalmente excesivos privilegios.

nota

Los usuarios de IAM creados por Amazon Simple Email Service se crean automáticamente mediante políticas integradas. Security Hub exime automáticamente a estos usuarios de este control.

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para resolver este problema, cree un grupo de IAM y asocie la política al grupo. Luego, agregue los usuarios al grupo. La política se aplica a cada usuario del grupo. Para eliminar una política asociada directamente a un usuario, consulte Adición y eliminación de permisos de identidad de IAM en la Guía del usuario de IAM.

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.14, NIst.800-53.r5 AC-2 (1), NISt.800-53.r5 AC-2 (3), NISt.800-53.r5 AC-3 (15)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : access-keys-rotated

Tipo de programa: Periódico

Parámetros:

  • maxAccessKeyAge: 90 (no personalizable)

Este control comprueba si las claves de acceso activas rotan en un plazo de 90 días.

Le recomendamos encarecidamente que no genere y elimine todas las claves de acceso de la cuenta. En su lugar, la mejor práctica recomendada es crear una o más funciones de IAM o utilizar la federación AWS IAM Identity Centermediante la federación. Puede utilizar estos métodos para permitir que sus usuarios accedan a AWS Management Console y AWS CLI.

Cada enfoque tiene sus casos de uso. La federación es generalmente mejor para las empresas que tienen un directorio o plan central existente y prevén que van a necesitar más que el límite actual de usuarios de IAM. Las aplicaciones que se ejecutan fuera de un AWS entorno necesitan claves de acceso para acceder a AWS los recursos mediante programación.

Sin embargo, si los recursos que necesitan acceso programático se ejecutan internamente AWS, la mejor práctica es utilizar las funciones de IAM. Los roles le permiten conceder acceso a un recurso sin codificar de forma rígida un ID de clave de acceso y una clave de acceso secreta en la configuración.

Para obtener más información sobre cómo proteger las claves de acceso y la cuenta, consulte las prácticas recomendadas para administrar las claves de AWS acceso en el. Referencia general de AWS Consulte también la entrada del blog Pautas para protegerse Cuenta de AWS mientras utiliza el acceso programático.

Si ya tiene una clave de acceso, Security Hub recomienda que rote las claves de acceso cada 90 días. La rotación de las claves de acceso reduce la posibilidad de que se utilice una clave de acceso asociada a una cuenta en peligro o cancelada. También garantiza que no se pueda acceder a los datos con una clave antigua que podría haberse perdido, revelado o robado. Actualice siempre sus aplicaciones después de rotar las claves de acceso.

Las claves de acceso constan de un ID de clave de acceso y de una clave de acceso secreta. Se utilizan para firmar las solicitudes programáticas que realiza a AWS. Los usuarios necesitan sus propias claves de acceso para realizar llamadas programáticas AWS desde las Herramientas para Windows AWS CLIPowerShell, los AWS SDK o realizar llamadas HTTP directas mediante las operaciones de la API de forma individual. Servicios de AWS

Si su organización utiliza AWS IAM Identity Center (IAM Identity Center), sus usuarios pueden iniciar sesión en Active Directory, en un directorio integrado del IAM Identity Center o en otro proveedor de identidad (IdP) conectado al IAM Identity Center. A continuación, pueden asignarse a una función de IAM que les permita ejecutar AWS CLI comandos o realizar operaciones de AWS API sin necesidad de claves de acceso. Para obtener más información, consulte Configuración del AWS CLI uso AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para rotar las claves de acceso que tienen más de 90 días de antigüedad, consulte Rotación de las claves de acceso en la Guía del usuario de IAM. Siga las instrucciones para cualquier usuario cuya clave de acceso tenga más de 90 días de antigüedad.

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

Requisitos relacionados: PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, CIS Foundations Benchmark v1.2.0/1.12, CIS AWS Foundations Benchmark v1.4.0/1.4, NISt.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NiSt.800-53.r5 AC-6, NiSt.800-53.R5 AC-6 (10), NiSt.800-53.r5 AC-6 (2) AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-root-access-key-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si está presente la clave de acceso del usuario raíz.

El usuario root es el usuario con más privilegios de un Cuenta de AWS. AWS las claves de acceso proporcionan acceso programático a una cuenta determinada.

Security Hub recomienda quitar todas las claves de acceso asociadas al usuario raíz. Esto limita los vectores que se pueden utilizar para comprometer su cuenta. También fomenta la creación y el uso de cuentas basadas en roles, que tienen menos privilegios.

Corrección

Para eliminar la clave de acceso del usuario raíz, consulte Eliminar las claves de acceso del usuario raíz en la Guía del usuario de IAM. Para eliminar las claves de acceso del usuario root de una entrada Cuenta de AWS AWS GovCloud (US), consulte Eliminar las claves de acceso del usuario root de mi AWS GovCloud (US) cuenta en la Guía del AWS GovCloud (US) usuario.

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.2, CIS AWS Foundations Benchmark v1.4.0/1.10, NIST.800-53.r5 AC-2 (1), NISt.800-53.r5 AC-3 (15), NISt.800-53.r5 IA-2 (1), NISt.800-53.r5 IA-2 (2), NISt.800-53.r5 IA-2 (6), NIST.800-53.R5 IA-2 (8)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : mfa-enabled-for-iam-console-access

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la autenticación AWS multifactor (MFA) está habilitada para todos los usuarios de IAM que utilizan una contraseña de consola.

La autenticación multifactor (MFA) agrega una capa adicional de protección además del nombre de usuario y la contraseña. Con la MFA habilitada, cuando un usuario inicia sesión en un AWS sitio web, se le solicita su nombre de usuario y contraseña. Además, se les solicita un código de autenticación desde su dispositivo AWS MFA.

Recomendamos que habilite la MFA para todas las cuentas que tengan una contraseña de consola. MFA está diseñado para proporcionar una mayor seguridad para acceder a la consola. La entidad de autenticación debe poseer un dispositivo que emita una clave sujeta a limitación temporal y debe tener conocimiento de una credencial.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para agregar MFA a los usuarios de IAM, consulte Uso de la autenticación multifactor (MFA) en AWS en la Guía del usuario de IAM.

Ofrecemos una clave de seguridad MFA gratuita a los clientes que reúnan los requisitos. Compruebe si cumple los requisitos y solicite su clave gratuita.

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v1.2.0/1.14, CIS Foundations Benchmark v1.4.0/1.6, NIST.800-53.r5 AC-2 (1), NISt.800-53.r5 AC-3 (15), NISt.800-53.r5 IA-2 (1), NISt.800-53.r5 IA-2 (2) -53.r5 IA-2 (6), NiST.800-53.r5 IA-2 (8) AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : root-account-hardware-mfa-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si Cuenta de AWS está habilitado para usar un dispositivo de autenticación multifactor (MFA) de hardware para iniciar sesión con credenciales de usuario root. El control falla si la MFA no está habilitada o si se permite que algún dispositivo MFA virtual inicie sesión con credenciales de usuario raíz.

Una aplicación de MFA virtual podría no proporcionar el mismo nivel de seguridad que un dispositivo MFA físico. Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware. Para obtener más información, consulte Habilitación de un dispositivo de autenticación multifactor (MFA) virtual (consola) en la Guía del usuario de IAM.

Tanto la contraseña temporal de un solo uso (TOTP) como los tokens universales de segundo factor (U2F) son viables como opciones de MFA de hardware.

Corrección

Para añadir un dispositivo MFA de hardware para el usuario root, consulte Habilitar un dispositivo MFA de hardware para el usuario Cuenta de AWS root (consola) en la Guía del usuario de IAM.

Ofrecemos una clave de seguridad MFA gratuita a los clientes que reúnan los requisitos. Compruebe si cumple los requisitos y solicite su clave gratuita.

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

Requisitos relacionados: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-2(3), NIST.800-53.r5 AC-3(15), NIST.800-53.r5 IA-5(1)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

RequireUppercaseCharacters

Requiere que al menos haya un carácter en mayúscula en la contraseña

Booleano

true o false

true

RequireLowercaseCharacters

Requiere que al menos haya un carácter en minúscula en la contraseña

Booleano

true o false

true

RequireSymbols

Requiere que al menos haya un símbolo en la contraseña

Booleano

true o false

true

RequireNumbers

Requiere que al menos haya un número en la contraseña

Booleano

true o false

true

MinimumPasswordLength

Cantidad mínima de caracteres en la contraseña

Entero

De 8 a 128

8

PasswordReusePrevention

Cantidad de rotaciones de contraseñas para poder reutilizar una contraseña anterior

Entero

De 12 a 24

Sin valor predeterminado

MaxPasswordAge

Cantidad de días antes de que la contraseña expire

Entero

De 1 a 90

Sin valor predeterminado

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las siguientes configuraciones seguras. Se producirá un error en el control si la política de contraseñas no utiliza configuraciones seguras. A menos que proporcione valores personalizados de parámetros, Security Hub utiliza los valores predeterminados que se mencionan en la tabla anterior. Los parámetros PasswordReusePrevention y MaxPasswordAge no tienen un valor predeterminado, por lo que, si los excluye, Security Hub ignora la cantidad de rotaciones de contraseñas y la antigüedad de la contraseña al evaluar este control.

Para acceder a AWS Management Console, los usuarios de IAM necesitan contraseñas. Como práctica recomendada, Security Hub recomienda encarecidamente que, en lugar de crear usuarios de IAM, utilice la federación. La federación permite a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en AWS Management Console. Utilice AWS IAM Identity Center (IAM Identity Center) para crear o federar el usuario y, a continuación, asuma una función de IAM en una cuenta.

Para obtener más información sobre los proveedores de identidad y la federación, consulte Proveedores de identidad y federación en la Guía del usuario de IAM. Para obtener más información sobre IAM Identity Center, consulte la AWS IAM Identity Center Guía del usuario.

Si necesita utilizar usuarios de IAM, Security Hub recomienda que exija la creación de contraseñas de usuario seguras. Puede establecer una política de contraseñas Cuenta de AWS para especificar los requisitos de complejidad y los períodos de rotación obligatorios de las contraseñas. Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Algunos de los ajustes se aplican de forma inmediata.

Corrección

Para actualizar la política de contraseñas, consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM en la Guía del usuario de IAM.

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, CIS AWS Foundations Benchmark v1.2.0/1.3, Nist.800-53.r5 AC-2, Nist.800-53.r5 AC-2 (1), Nist.800-53.r5 AC-2 (3), Nist.800-53.r5 AC-3 (15), Nist.800-53.r5 AC-3 (7), NiST.800-53.R5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : iam-user-unused-credentials-check

Tipo de programa: Periódico

Parámetros:

  • maxCredentialUsageAge: 90 (no personalizable)

Este control comprueba si los usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado durante 90 días.

Los usuarios de IAM pueden acceder a AWS los recursos mediante distintos tipos de credenciales, como contraseñas o claves de acceso.

Security Hub recomienda que elimine o desactive todas las credenciales que han dejado de utilizarse durante 90 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Al ver la información del usuario en la consola de IAM, hay columnas para la antigüedad de la clave de acceso, la antigüedad de la Contraseña y la Última actividad. Si el valor en cualquiera de estas columnas es superior a 90 días, desactive las credenciales de esos usuarios.

También puede utilizar los informes de credenciales para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 90 días o más. Puede descargar los informes de credenciales en formato .csv desde la consola de IAM.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, desactívalas. Para obtener instrucciones, consulte Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola) en la Guía del usuario de IAM.

[IAM.9] La MFA debe estar habilitada para el usuario raíz

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v1.2.0/1.13, CIS Foundations Benchmark v1.4.0/1.5, NISt.800-53.r5 AC-2 (1), NISt.800-53.r5 AC-3 (15), NISt.800-53.r5 IA-2 (1), NISt.800-53.r5 IA-2 (2) -53.r5 IA-2 (6), NiST.800-53.r5 IA-2 (8) AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : root-account-mfa-enabled

Tipo de programa: Periódico

Parámetros: ninguno

El usuario raíz tiene acceso completo a todos los servicios y recursos en Cuenta de AWS. La MFA aporta una capa adicional de protección además de un nombre de usuario y una contraseña. Con la MFA habilitada, cuando un usuario inicia sesión en el AWS Management Console, se le solicita su nombre de usuario y contraseña y un código de autenticación de su dispositivo de MFA AWS .

Si utiliza la MFA virtual para el usuario raíz, CIS recomienda que el dispositivo utilizado no sea un dispositivo personal. Utilice, en cambio, un dispositivo móvil (tableta o teléfono) que usted mismo administre de modo que se mantenga cargado y protegido independientemente de los dispositivos personales individuales. Esto disminuye el riesgo de perder acceso al dispositivo de MFA debido a pérdida o cambio de dispositivo o a que el propietario del dispositivo ya no esté empleado en la empresa.

Corrección

Para habilitar la MFA para el usuario raíz, consulte Activar la MFA en el usuario Cuenta de AWS raíz en la Guía de referencia de administración de AWS cuentas.

[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una duración estricta AWS Config

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las siguientes configuraciones mínimas de PCI DSS.

  • RequireUppercaseCharacters: requiere que al menos haya un carácter en mayúscula en la contraseña. (Valor predeterminado = true)

  • RequireLowercaseCharacters: requiere que al menos haya un carácter en minúscula en la contraseña. (Valor predeterminado = true)

  • RequireNumbers: requiere que al menos haya un número en la contraseña. (Valor predeterminado = true)

  • MinimumPasswordLength: longitud mínima de la contraseña. (Predeterminado = 7 o más)

  • PasswordReusePrevention: número de contraseñas antes de que se permita reutilizarlas. (Valor predeterminado = 4)

  • MaxPasswordAge — Número de días antes de que caduque la contraseña. (Valor predeterminado = 90)

Corrección

Para actualizar su política de contraseñas y usar la configuración recomendada, consulte Establecer una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM.

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.5

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos una letra mayúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para lograr una Contraseña fuerte, seleccione Se requiere al menos una letra mayúscula del alfabeto latino (A-Z).

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

Requisitos relacionados: CIS Foundations Benchmark v1.2.0/1.6 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres. CIS recomienda que la política de contraseñas exija al menos una letra minúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para lograr una Contraseña fuerte, seleccione Se requiere al menos una letra minúscula del alfabeto latino (A-Z).

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

Requisitos relacionados: CIS Foundations Benchmark v1.2.0/1.7 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un símbolo. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para la Seguridad de la contraseña, seleccione Requerir al menos un carácter no alfanumérico.

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

Requisitos relacionados: CIS Foundations Benchmark v1.2.0/1.8 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un número. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para la Seguridad de la contraseña, seleccione Requerir al menos un número.

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.9, CIS Foundations Benchmark v1.4.0/1.8 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas tengan como mínimo una determinada longitud.

CIS recomienda que la política de contraseñas exija al menos una longitud de contraseña de 14 caracteres. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para la Longitud mínima de la contraseña, introduzca 14 o un número mayor.

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

Requisitos relacionados: CIS Foundations Benchmark v1.2.0/1.10, CIS Foundations Benchmark v1.4.0/1.9 AWS AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el número de contraseñas que se deben recordar está establecido en 24. El control falla si el valor no es 24.

Las políticas de contraseñas de IAM pueden evitar la reutilización de una contraseña determinada por el mismo usuario.

CIS recomienda que la política de contraseñas evite la reutilización de contraseñas. Evitar la reutilización de contraseñas de aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para Impedir la reutilización de la contraseña, introduzca 24.

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.11

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas de IAM pueden requerir que las contraseñas se roten o que caduquen al cabo de un determinado número de días.

CIS recomienda que la política de contraseñas haga caducar las contraseñas al cabo de 90 días o menos. La reducción de la vida útil de la contraseña aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta. Exigir cambios regulares de contraseña también es útil en los siguientes casos:

  • Las contraseñas pueden ser robadas o estar en peligro sin que usted lo sepa. Esto puede ocurrir debido a un sistema amenazado, una vulnerabilidad de software o una amenaza interna.

  • Algunos filtros web corporativas y gubernamentales o servidores proxy puede interceptar y registrar el tráfico incluso si está cifrado.

  • Muchas personas utilizan la misma contraseña para muchos sistemas como, por ejemplo, trabajo, correo electrónico y personal.

  • Algunas estaciones de trabajo de usuarios finales en peligro podrían tener un registrador de combinación de teclas.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para Activar la caducidad de la contraseña, introduzca 90 o un número menor.

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.20, CIS Foundations Benchmark v1.4.0/1.17 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-policy-in-use

Tipo de programa: Periódico

Parámetros:

  • policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (no personalizable)

  • policyUsageType: ANY (no personalizable)

AWS proporciona un centro de soporte que se puede utilizar para la notificación y respuesta a incidentes, así como para el soporte técnico y el servicio de atención al cliente.

Cree un rol de IAM para permitir que los usuarios autorizados administren incidentes con AWS Support. Al implementar los privilegios mínimos para el control de acceso, una función de IAM requerirá una política de IAM adecuada que permita el acceso al centro de soporte con el fin de gestionar los incidentes. AWS Support

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para solucionar este problema, cree un rol que permita a los usuarios autorizados administrar incidentes de AWS Support .

Para crear el rol que se utilizará para el AWS Support acceso
  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de IAM, elija Roles y, a continuación, Crear rol.

  3. En Tipo de rol, elija Otro Cuenta de AWS.

  4. En el campo ID de cuenta, introduzca el Cuenta de AWS ID del usuario Cuenta de AWS al que desea conceder acceso a sus recursos.

    Si los usuarios o grupos que asumirán este rol están en la misma cuenta, introduzca el número de cuenta local.

    nota

    El administrador de la cuenta especificada puede conceder permiso para asumir este rol a cualquier usuario de en esa cuenta. Para ello, el administrador asocia una política al usuario o grupo que concede permiso para la acción sts:AssumeRole. En esa política, el recurso debe ser el ARN del rol.

  5. Elija Siguiente: permisos.

  6. Busque la política administrada AWSSupportAccess.

  7. Seleccione la casilla de verificación de la política administrada AWSSupportAccess.

  8. Elija Siguiente: etiquetas.

  9. (Opcional) Para agregar metadatos al rol, asocie etiquetas como pares clave-valor.

    Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de usuarios y roles de IAM en la Guía del usuario de IAM.

  10. Elija Siguiente: Revisar.

  11. Escriba un nombre para el rol en Nombre de rol.

    Los nombres de los roles deben ser únicos dentro de su Cuenta de AWS. No distinguen entre mayúsculas y minúsculas.

  12. (Opcional) En Descripción del rol, introduzca una descripción para el nuevo rol.

  13. Revise el rol y, a continuación, elija Create role (Crear rol).

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, NiSt.800-53.r5 AC-2 (1), NiSt.800-53.r5 AC-3 (15), NiSt.800-53.r5 IA-2 (1), NIst.800-53.r5 IA-2 (2), NIst.800-53.r5 IA-2 (6), NIst.800-53.r5 IA-2 (8)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : iam-user-mfa-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los usuarios de IAM tienen habilitada la autenticación multifactor (MFA).

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para añadir MFA a los usuarios de IAM, consulte Habilitar dispositivos de MFA para los usuarios AWS en la Guía del usuario de IAM.

[IAM.20] Evite el uso del usuario raíz

importante

Security Hub eliminará este control en marzo de 2024. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.1

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : use-of-root-account-test (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si hay restricciones en el uso del usuario root. Cuenta de AWS El control evalúa los siguientes recursos:

  • Temas de Amazon Simple Notification Service (Amazon SNS)

  • AWS CloudTrail senderos

  • Filtros métricos asociados a los CloudTrail senderos

  • CloudWatch Alarmas de Amazon basadas en los filtros

Esta comprobación da como resultado FAILED si una o varias de las siguientes afirmaciones son verdaderas:

  • No CloudTrail existe ningún rastro en la cuenta.

  • Una CloudTrail ruta está habilitada, pero no configurada con al menos una ruta multirregional que incluya eventos de administración de lectura y escritura.

  • Una CloudTrail ruta está habilitada, pero no está asociada a un grupo de CloudWatch registros.

  • No se utiliza el filtro métrico exacto prescrito por el Center for Internet Security (CIS). El filtro métrico prescrito es '{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.

  • No existe ninguna CloudWatch alarma basada en el filtro de métricas en la cuenta.

  • CloudWatch las alarmas configuradas para enviar notificaciones al tema de SNS asociado no se activan en función del estado de la alarma.

  • El tema de SNS no cumple con las restricciones para enviar un mensaje a un tema de SNS.

  • El tema de SNS no tiene al menos un suscriptor.

Esta comprobación da como resultado NO_DATA si una o más de las siguientes afirmaciones son verdaderas:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

Esta comprobación da como resultado WARNING si una o más de las siguientes afirmaciones son verdaderas:

  • La cuenta corriente no es propietaria del tema de SNS al que se hace referencia en la CloudWatch alarma.

  • La cuenta actual no tiene acceso al tema de SNS al invocar la API de SNS de ListSubscriptionsByTopic.

nota

Recomendamos utilizar los registros de la organización para registrar los eventos de varias cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de CloudTrail administrador delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA para los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para realizar tareas de administración de cuentas y servicios. Aplique políticas de IAM directamente a los grupos y roles, pero no a los usuarios. Para ver las instrucciones sobre cómo configurar un administrador para el uso diario, consulte Creación del primer grupo y usuario administrador de IAM en la Guía de usuario de IAM.

Corrección

Los pasos para solucionar este problema incluyen la configuración de un tema de Amazon SNS, CloudTrail una ruta, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS
  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. Cree un tema de Amazon SNS que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure un activo CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en [CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura.

Anote el nombre del grupo de CloudWatch registros que asocie a la CloudTrail ruta. Cree el filtro de métricas en el grupo de registro.

Por último, cree el filtro métrico y la alarma.

Para crear un filtro de métricas y alarma
  1. Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, seleccione Grupos de registro.

  3. Seleccione la casilla de verificación del grupo de CloudWatch registros que está asociado a la CloudTrail ruta que ha creado.

  4. En Acciones, elija Crear filtro de métricas.

  5. En Definir patrón, haga lo siguiente:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
    2. Elija Siguiente.

  6. En Asignar métrica, haga lo siguiente:

    1. En Nombre de filtro, escriba un nombre para el filtro de métricas.

    2. En Espacio de nombres de métrica, escriba LogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. Para Nombre de métrica, ingrese un nombre para la métrica. Recuerde el nombre de la métrica. Deberá seleccionar la métrica al crear la alarma.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Siguiente.

  7. En Revisar y crear, compruebe la información que proporcionó para el nuevo filtro de métricas. A continuación, elija Crear filtro de métrica.

  8. En el panel de navegación, elija Grupos de registros y, a continuación, elija el filtro que creó en Filtros métricos.

  9. Seleccione la casilla de verificación del filtro. Elija Crear alarma.

  10. En Especificar métrica y condiciones, realice lo siguiente:

    1. En Condiciones, vaya a Tipo de umbral y escriba Estático.

    2. En Definir la condición de alarma, elija Mayor/Igual.

    3. En Definir el valor umbral, introduzca 1.

    4. Elija Siguiente.

  11. En Configuración de acciones, haga lo siguiente:

    1. Para Desencadenador de estado de alarma, elija En alarma.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. En Enviar notificación a, introduzca el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Siguiente.

  12. En Añadir una descripción, escriba un nombre y la descripción de la alarma, como CIS-1.1-RootAccountUsage. A continuación, elija Siguiente.

  13. En Vista previa y creación, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

Requisitos relacionados: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(10), NIST.800-53.r5 AC-6(2), NIST.800-53.r5 AC-6(3)

Categoría: Detectar > Gestión de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config : iam-policy-no-statements-with-full-access

Tipo de horario: provocado por un cambio

Parámetros:

  • excludePermissionBoundaryPolicy: True (no personalizable)

Este control comprueba si las políticas de IAM basadas en la identidad que cree incluyen instrucciones de permiso que utilizan el comodín * para conceder permisos para todas las acciones de cualquier servicio. El control falla si alguna declaración de política incluye "Effect": "Allow" con "Action": "Service:*".

Por ejemplo, la siguiente afirmación de una política da como resultado una conclusión fallida.

"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }

El control también falla si se usa "Effect": "Allow" con "NotAction": "service:*". En ese caso, el NotAction elemento proporciona acceso a todas las acciones de un Servicio de AWS, excepto a las acciones especificadas enNotAction.

Este control solo se aplica a las políticas de IAM administradas por el cliente. No se aplica a las políticas de IAM gestionadas por AWS.

Al asignar permisos a Servicios de AWS, es importante incluir las acciones de IAM permitidas en sus políticas de IAM. Debe restringir las acciones de IAM solo a las acciones que sean necesarias. Esto le ayuda a proporcionar permisos con privilegios mínimos. Las políticas demasiado permisivas pueden provocar una escalada de privilegios si las políticas están vinculadas a un director de IAM que podría no requerir el permiso.

En algunos casos, es posible que desee permitir acciones de IAM que tienen un prefijo similar, como DescribeFlowLogs y DescribeAvailabilityZones. En estos casos autorizados, puede añadir un comodín con sufijo al prefijo común. Por ejemplo, ec2:Describe*.

Este control se activa si utiliza una acción de IAM con un prefijo con un comodín con sufijo. Por ejemplo, la siguiente declaración de una política da como resultado que se aprueba una conclusión.

"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }

Si agrupa las acciones de IAM relacionadas de esta manera, también puede evitar superar los límites de tamaño de las políticas de IAM.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para solucionar este problema, actualice sus políticas de IAM para que no permitan todos los privilegios administrativos “*”. Para conocer los detalles acerca de cómo editar una política de IAM, consulte Edición de políticas de IAM en la Guía del usuario de IAM.

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

Requisitos relacionados: CIS AWS Foundations Benchmark v1.4.0/1.12

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

AWS Config regla: iam-user-unused-credentials-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado durante 45 días o más. Para ello, comprueba si el maxCredentialUsageAge parámetro de la AWS Config regla es igual o superior a 45.

Los usuarios pueden acceder a AWS los recursos mediante diferentes tipos de credenciales, como contraseñas o claves de acceso.

CIS recomienda que elimine o desactive todas las credenciales que han dejado de utilizarse durante 45 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

La AWS Config regla para este control utiliza las operaciones GetCredentialReporty la GenerateCredentialReportAPI, que solo se actualizan cada cuatro horas. Los cambios en los usuarios de IAM pueden tardar hasta cuatro horas en ser visibles para este control.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, puede habilitar el registro de los recursos globales en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Al ver la información del usuario en la consola de IAM, hay columnas para la antigüedad de la clave de acceso, la antigüedad de la Contraseña y la Última actividad. Si el valor en cualquiera de estas columnas es superior a 45 días, desactive las credenciales de esos usuarios.

También puede utilizar los informes de credenciales para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 45 días o más. Puede descargar los informes de credenciales en formato .csv desde la consola de IAM.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, desactívalas. Para obtener instrucciones, consulte Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola) en la Guía del usuario de IAM.