SEC03-BP08 Compartir recursos de forma segura en su organización

A medida que el número de cargas de trabajo va aumentando, es posible que necesite compartir el acceso a los recursos de esas cargas de trabajo o aprovisionar los recursos varias veces entre varias cuentas. Es posible que disponga de componentes para compartimentar el entorno, por ejemplo, en entornos de desarrollo, pruebas y producción. Sin embargo, disponer de componentes de separación no le impide compartir de forma segura. Al compartir componentes que se solapan, puede reducir la sobrecarga operativa y conseguir una experiencia uniforme sin tener que adivinar qué podría haber pasado por alto al crear el mismo recurso varias veces.

Resultado deseado: reducir al mínimo el acceso involuntario mediante métodos seguros para compartir recursos dentro de su organización y facilitar su iniciativa de prevención de pérdida de datos. Reducir la sobrecarga operativa en comparación con la administración de componentes individuales, reducir los errores derivados de crear manualmente el mismo componente varias veces y aumentar la escalabilidad de las cargas de trabajo. Puede disminuir el tiempo de resolución en escenarios con varios puntos de fallo y aumentar su confianza a la hora de determinar cuándo un componente ya no es necesario. Para obtener orientación prescriptiva sobre el análisis de recursos que se comparten externamente, consulte SEC03-BP07 Analizar el acceso público y entre cuentas.

Antipatrones usuales:

Falta de un proceso para supervisar continuamente y alertar automáticamente sobre un uso compartido externo inesperado.
Falta de una referencia sobre lo que se debe compartir y lo que no.
Adoptar de manera predeterminada una política muy abierta en lugar de compartir explícitamente cuando es necesario.
Crear manualmente recursos fundamentales que se solapan cuando es necesario.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Diseñe sus controles y patrones de acceso para que rijan el consumo de recursos compartidos de forma segura y solo con entidades de confianza. Supervise los recursos compartidos y revise el acceso a ellos de forma continua; además, reciba alertas sobre un uso compartido inapropiado o inesperado. Revise Analizar el acceso público y entre cuentas para ayudarle a establecer una gobernanza que reduzca el acceso externo solo a los recursos que lo requieran, además de a establecer un proceso para supervisar continuamente y alertar automáticamente.

El uso compartido entre cuentas dentro de AWS Organizations está respaldado por una serie de servicios de AWS, como AWS Security Hub, Amazon GuardDuty y AWS Backup. Estos servicios permiten compartir datos con una cuenta central, acceder a ellos desde una cuenta central o administrar recursos y datos desde una cuenta central. Por ejemplo, AWS Security Hub puede transferir hallazgos desde cuentas individuales a una cuenta central en la que podrá verlos todos. AWS Backup puede realizar una copia de seguridad de un recurso y compartirlo entre varias cuentas. Puede utilizar AWS Resource Access Manager (AWS RAM) para compartir otros recursos comunes, como subredes de VPC y asociaciones de Transit Gateway, AWS Network Firewall o canalizaciones de Amazon SageMaker AI.

Para limitar su cuenta para que solo comparta recursos dentro de su organización, utilice políticas de control de servicios (SCP) para impedir el acceso a las entidades principales externas. Cuando comparta recursos, combine controles basados en identidades y controles de red para crear un perímetro de datos para su organización que le ayude a protegerse contra el acceso no intencionado. Un perímetro de datos es un conjunto de barreras de protección preventivas para ayudar a verificar que solo sus identidades de confianza accedan a los recursos de confianza desde las redes previstas. Estos controles ponen límites apropiados a los recursos que se pueden compartir y evitan que se compartan o expongan recursos que no deberían permitirse. Por ejemplo, como parte de su perímetro de datos, puede utilizar políticas de punto de conexión de VPC y la condición AWS:PrincipalOrgId para asegurarse de que las identidades que acceden a sus buckets de Amazon S3 pertenecen a su organización. Es importante tener en cuenta que los SCP no se aplican a los roles vinculados al servicio (LSR) ni a las entidades principales del servicio de AWS.

Cuando utilice Amazon S3, deshabilite las ACL para su bucket de Amazon S3 y utilice las políticas de IAM para definir el control de acceso. Para restringir el acceso a un origen de Amazon S3 desde Amazon CloudFront, migre de la identidad de acceso de origen (OAI) al control de acceso de origen (OAC), que admite características adicionales como el cifrado del servidor con AWS Key Management Service.

En algunos casos, es posible que desee permitir compartir recursos fuera de su organización o conceder a un tercero acceso a sus recursos. Para obtener orientación prescriptiva sobre la administración de permisos para compartir recursos externamente, consulte Administración de permisos.

Pasos para la implementación

Use AWS Organizations.

AWS Organizations es un servicio de administración de cuentas que le permite consolidar varias Cuentas de AWS en una organización que usted crea y administra de manera centralizada. Puede agrupar sus cuentas en unidades organizativas (OU) y asociar diferentes políticas a cada OU para ayudarle a satisfacer sus necesidades presupuestarias, de seguridad y de conformidad. También puede controlar cómo los servicios de inteligencia artificial (IA) y machine learning (ML) de AWS pueden recopilar y almacenar datos, y utilizar la administración de varias cuentas de los servicios de AWS integrada con Organizations.
Integre AWS Organizations con servicios de AWS.

Cuando habilita un servicio de AWS para que realice tareas en su nombre en las cuentas miembros de su organización, AWS Organizations crea un rol vinculado al servicio de IAM para dicho servicio en cada cuenta miembro. Debe administrar el acceso de confianza mediante la AWS Management Console, las API de AWS o la AWS CLI. Para obtener orientación prescriptiva sobre la habilitación del acceso de confianza, consulte Uso de AWS Organizations con otros servicios de AWS y Servicios de AWS que se pueden utilizar con Organizations.
Establezca un perímetro de datos.

El perímetro de AWS suele representarse como una organización administrada por AWS Organizations. Junto con las redes y sistemas locales, el acceso a los recursos de AWS es lo que muchas personas consideran que es el perímetro de Mi AWS. El objetivo del perímetro es verificar que se permite el acceso si la identidad es de confianza, el recurso es de confianza y la red es la que se espera.
1. Defina e implemente los perímetros.
  
  Siga los pasos que se describen en Perimeter implementation (Implementación del perímetro) del documento técnico Building a Perimeter on AWS (Construir un perímetro en AWS) para cada condición de autorización. Para obtener orientación prescriptiva sobre la protección de la capa de red, consulte Protección de redes.
2. Supervise y alerte continuamente.
  
  AWS Identity and Access Management Access Analyzer ayuda a identificar los recursos y las cuentas de su organización que se comparten con entidades externas. Puede integrar IAM Access Analyzer con AWS Security Hub para enviar y agregar los hallazgos sobre un recurso desde IAM Access Analyzer a Security Hub para ayudarle a analizar la postura de seguridad de su entorno. Para permitir la integración, habilite tanto IAM Access Analyzer como Security Hub en cada región de cada cuenta. También puede utilizar Reglas de AWS Config para auditar la configuración y alertar a quien corresponda utilizando AWS Chatbot con AWS Security Hub. A continuación, puede utilizar los documentos de AWS Systems Manager Automation para corregir los recursos no conformes.
3. Para obtener orientación prescriptiva sobre la supervisión y alerta continua de los recursos compartidos externamente, consulte Analizar el acceso público y entre cuentas.
Utilice el uso compartido de recursos en los servicios de AWS y restrínjalos de la forma oportuna.

Muchos servicios de AWS le permiten compartir recursos con otra cuenta o dirigirse a un recurso de otra cuenta, como las imágenes de máquina de Amazon (AMI) y AWS Resource Access Manager (AWS RAM). Restrinja la API ModifyImageAttribute para especificar las cuentas de confianza con las que compartir la AMI. Especifique la condición ram:RequestedAllowsExternalPrincipals cuando utilice AWS RAM para restringir el uso compartido únicamente a su organización; de esta forma, ayuda a evitar el acceso desde identidades que no sean de confianza. Para obtener orientación prescriptiva y conocer otras consideraciones, consulte Resource sharing and external targets (Uso compartido de recursos y destinos externos).
Utilice AWS RAM para compartir de forma segura en una cuenta o con otras Cuentas de AWS.

AWS RAM le ayuda a compartir de forma segura los recursos que ha creado con roles y usuarios de su cuenta y con otras Cuentas de AWS. En un entorno de varias cuentas, AWS RAM le permite crear un recurso una vez y compartirlo con otras cuentas. Este enfoque ayuda a reducir su sobrecarga operativa a la vez que proporciona coherencia, visibilidad y auditabilidad en integraciones con Amazon CloudWatch y AWS CloudTrail, algo que no tiene cuando utiliza el acceso entre cuentas.

Si tiene recursos que compartió anteriormente mediante una política basada en recursos, puede utilizar la API PromoteResourceShareCreatedFromPolicy o una equivalente para promover el recurso compartido a un recurso compartido completo de AWS RAM.

En algunos casos, puede que tenga que dar pasos adicionales para compartir recursos. Por ejemplo, para compartir una instantánea cifrada, necesita compartir una clave AWS KMS.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

Bucket owner granting cross-account permission to objects it does not own (El propietario del bucket concede permisos entre varias cuentas a objetos que no son de su propiedad)
How to use Trust Policies with IAM (Cómo utilizar las políticas de confianza con IAM)
Building Data Perimeter on AWS (Creación de un perímetro de datos en AWS)
Cómo utilizar un ID externo al otorgar acceso a los recursos de AWS a terceros
Servicios de AWS que se pueden utilizar con AWS Organizations
Establishing a data perimeter on AWS: Allow only trusted identities to access company data (Establecer un perímetro de datos en AWS: permitir que solo las identidades de confianza accedan a los datos de la empresa)

Vídeos relacionados:

Granular Access with AWS Resource Access Manager (Acceso detallado con AWS Resource Access Manager)
Securing your data perimeter with VPC endpoints (Protección del perímetro de datos con puntos de conexión de VPC)
Establishing a data perimeter on AWS (Establecer un perímetro de datos en AWS)

Herramientas relacionadas:

Data Perimeter Policy Examples (Ejemplos de políticas del perímetro de datos)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC03-BP07 Analizar el acceso público y entre cuentas

SEC03-BP09 Compartir recursos de forma segura con terceros