SEC02-BP04 Recurrir a un proveedor de identidades centralizado - AWS Well-Architected Framework

SEC02-BP04 Recurrir a un proveedor de identidades centralizado

Para las identidades del personal, recurra a un proveedor de identidades que le permita administrar las identidades en un lugar centralizado. Esto facilita la administración del acceso a varias aplicaciones y servicios, ya que crea, administra y revoca el acceso desde una única ubicación. Por ejemplo, si alguien se va de su organización, puede revocarle el acceso a todas las aplicaciones y servicios (incluido AWS) desde una ubicación. Esto reduce la necesidad de tener múltiples credenciales y proporciona una oportunidad para integrarse con los procesos de recursos humanos (RR. HH.) existentes.

Para la federación con cuentas de AWS individuales, puede usar identidades centralizadas para AWS con un proveedor basado en SAML 2.0 con AWS Identity and Access Management. Puede utilizar cualquier proveedor, ya sea alojado por usted en AWS, externo a AWS o suministrado por la AWS Partner, que sea compatible con el protocolo SAML 2.0 . Puede usar la federación entre su cuenta de AWS y un proveedor de su elección para conceder a un usuario o una aplicación acceso a las operaciones de llamada a la API de AWS utilizando una aserción SAML para obtener credenciales de seguridad temporales. El inicio de sesión único basado en web también es compatible y permite a los usuarios iniciar sesión en la AWS Management Console desde el sitio web de inicio de sesión.

Para la federación en múltiples cuentas en su AWS Organizations, puede configurar su origen de identidad en AWS IAM Identity Center (IAM Identity Center), y especificar dónde se almacenan sus usuarios y grupos. Una vez configurado, su proveedor de identidades es su fuente de verdad, y la información se puede sincronizar utilizando el protocolo del sistema para administración de identidades entre dominios (SCIM) v2.0. A continuación puede buscar usuarios o grupos y concederles acceso IAM Identity Center a las cuentas de AWS, aplicaciones en la nube o ambas.

IAM Identity Center se integra con AWS Organizations, lo que le permite configurar su proveedor de identidades una vez y después conceder acceso a las cuentas nuevas y existentes que se administran en su organización. IAM Identity Center le proporciona un almacén predeterminado que puede utilizar para administrar sus usuarios y grupos. Si decide usar el almacén de IAM Identity Center, cree sus usuarios y grupos y asígneles su nivel de acceso a sus cuentas y aplicaciones de AWS, teniendo siempre en mente la práctica recomendada de conceder un privilegio mínimo. Como alternativa, puede decidir conectarse a su proveedor de identidades externo con SAML 2.0, o conectarse a su directorio de Microsoft AD con AWS Directory Service. Tras la configuración, puede iniciar sesión en la AWS Management Console o la aplicación móvil de AWS autenticándose en su proveedor de identidades central.

Para administrar a los usuarios finales o consumidores de sus cargas de trabajo, como una aplicación móvil, puede usar Amazon Cognito. Proporciona autenticación, autorización y administración de usuarios para sus aplicaciones móviles y web. Sus usuarios pueden iniciar sesión directamente con un nombre de usuario y una contraseña, o a través de un tercero, como Amazon, Apple, Facebook o Google.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: Alto

Guía para la implementación

  • Centralice el acceso administrativo: cree una entidad proveedora de identidades en Identity and Access Management (IAM) para establecer una relación de confianza entre su Cuenta de AWS y su proveedor de identidades (IdP). IAM admite IdP compatibles con OpenID Connect (OIDC) o SAML 2.0 (Lenguaje de Marcado para Confirmaciones de Seguridad 2.0).

  • Centralice el acceso a aplicaciones: plantéese usar Amazon Cognito para centralizar el acceso a aplicaciones. Le permite incorporar control de acceso e inscripción e inicio de sesión de usuarios a su sitio web y aplicaciones para dispositivos móviles de manera rápida y sencilla. Amazon Cognito se amplía a millones de usuarios y admite el inicio de sesión con proveedores de identidades sociales, como Facebook, Google y Amazon, y proveedores de identidades empresariales a través de SAML 2.0.

Recursos

Documentos relacionados:

Vídeos relacionados: