SEC03-BP03 Establecer un proceso de acceso de emergencia
Un proceso que permita el acceso de emergencia a su carga de trabajo en el improbable caso de que se produzca un error en un proceso automatizado o una canalización. Esto le ayudará a recurrir al acceso de privilegio mínimo, pero a la vez garantiza que los usuarios puedan obtener el nivel de acceso correcto cuando lo necesiten. Por ejemplo, establezca un proceso para que los administradores verifiquen y aprueben su solicitud, como un rol entre cuentas de AWS para el acceso o un proceso específico que puedan seguir los administradores para validar y aprobar una solicitud de emergencia.
Patrones comunes de uso no recomendados:
-
No contar con un proceso de emergencia para recuperarse de una interrupción con su configuración de identidad existente
-
Conceder permisos de alto nivel a largo plazo con fines de solución de problemas o de recuperación
Nivel de riesgo expuesto si no se establece esta práctica recomendada: Medio
Guía para la implementación
El establecimiento de un acceso de emergencia puede adoptar varias formas para las que debe estar preparado. La primera es un error de su proveedor de identidad principal. En este caso, deberá confiar en un segundo método de acceso con los permisos necesarios para la recuperación. Este método podría ser un proveedor de identidad de reserva o un usuario de IAM. Este segundo método se debe controlar, supervisar y notificar de forma estricta
También debe estar preparado para un acceso de emergencia en el que se necesite un acceso administrativo de alto nivel temporal. Una situación habitual es limitar los permisos de mutación a un proceso automatizado utilizado para desplegar los cambios. Si este proceso tiene algún problema, es posible que los usuarios deban solicitar permisos de alto nivel para restablecer la funcionalidad. En este caso, establezca un proceso en el que los usuarios puedan solicitar un acceso de alto nivel y los administradores puedan validarlo y aprobarlo. Los planes de implementación que detallan la guía de prácticas recomendadas para aprovisionar previamente el acceso y configurar los roles de emergencia e inmediatos, se proporcionan como parte de SEC10-BP05: Aprovisionamiento previo del acceso.
Recursos
Documentos relacionados:
Vídeo relacionado: