SEC01-BP02 Proteger el usuario raíz y las propiedades de la cuenta

El usuario raíz es el usuario con más privilegios de una Cuenta de AWS. Tiene acceso administrativo completo a todos los recursos de la cuenta y, en algunos casos, no se puede limitar con políticas de seguridad. Deshabilitar el acceso programático al usuario raíz, establecer controles apropiados para este usuario y evitar su uso rutinario ayuda a reducir el riesgo de exposición inadvertida de las credenciales raíz y el consiguiente peligro que esto supone para el entorno de la nube.

Resultado deseado: proteger al usuario raíz ayuda a reducir la posibilidad de que se produzcan daños accidentales o intencionados por el uso indebido de las credenciales de usuario raíz. Establecer controles de detección también puede servir para alertar al personal adecuado cuando se realizan acciones con el usuario raíz.

Antipatrones usuales:

Utilizar el usuario raíz para realizar tareas que no se encuentran entre las pocas que requieren credenciales de usuario raíz.
Dejar de comprobar periódicamente los planes de contingencia para verificar el funcionamiento de las infraestructuras críticas, los procesos y el personal durante una emergencia.
Considerar únicamente el flujo de inicio de sesión típico de la cuenta y olvidarse de considerar o probar métodos alternativos de recuperación de la cuenta.
No ocuparse de DNS, servidores de correo electrónico y proveedores de telefonía como parte del perímetro crítico de seguridad, ya que estos se utilizan en el flujo de recuperación de la cuenta.

Beneficios de establecer esta práctica recomendada: proteger el acceso al usuario raíz genera confianza, ya que las acciones en su cuenta están controladas y auditadas.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

AWS dispone de muchas herramientas para proteger su cuenta. Sin embargo, dado que algunas de estas medidas no están habilitadas de forma predeterminada, deberá implementarlas directamente. Considere estas recomendaciones como pasos básicos para proteger su Cuenta de AWS. A medida que vaya implementando estos pasos, es importante que cree un proceso para evaluar y supervisar continuamente los controles de seguridad.

Cuando crea una Cuenta de AWS por primera vez, empieza con una sola identidad que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad se denomina usuario raíz de la Cuenta de AWS. Puede iniciar sesión como usuario raíz con la dirección de correo electrónico y la contraseña que se ha usado para crear la cuenta. Dado el elevado nivel de acceso que se concede al usuario raíz de AWS, debe limitar el uso de este usuario de AWS a la realización de tareas que lo requieran específicamente. Las credenciales de inicio de sesión del usuario raíz deben estar muy bien protegidas y siempre se debe habilitar la autenticación multifactor (MFA) para el usuario raíz de la Cuenta de AWS.

Además del flujo de autenticación normal para iniciar sesión con su usuario raíz mediante un nombre de usuario, una contraseña y un dispositivo de autenticación multifactor (MFA), existen flujos de recuperación de la cuenta para iniciar sesión con el usuario raíz de la Cuenta de AWS que tiene acceso a la dirección de correo electrónico y al número de teléfono asociados a su cuenta. Por lo tanto, también es muy importante proteger la cuenta de correo electrónico del usuario raíz a la que se envía el mensaje de recuperación y el número de teléfono asociado a la cuenta. Tenga en cuenta también las posibles dependencias circulares si la dirección de correo electrónico asociada al usuario raíz está alojada en servidores de correo electrónico o recursos del servicio de nombres de dominio (DNS) de la misma Cuenta de AWS.

Cuando se utiliza AWS Organizations, hay varias Cuentas de AWS y cada una de ellas tiene un usuario raíz. Se designa una cuenta como cuenta de administración y, a continuación, se pueden añadir varias capas de cuentas miembro por debajo de esa cuenta de administración. Dé prioridad a la seguridad del usuario raíz de su cuenta de administración y, luego, céntrese en los usuarios raíz de las cuentas miembros. La estrategia para proteger el usuario raíz de su cuenta de administración puede ser diferente a la de los usuarios raíz de sus cuentas miembro, y puede colocar controles de seguridad preventivos en los usuarios raíz de sus cuentas miembro.

Pasos para la implementación

Se recomienda realizar los siguientes pasos de implementación para establecer controles para el usuario raíz. Cuando sea oportuno, las recomendaciones hacen referencia a la referencia de CIS AWS Foundations versión 1.4.0. Además de estos pasos, consulte las prácticas recomendadas de AWS para proteger sus recursos y su Cuenta de AWS.

Controles preventivos

Establezca información de contacto precisa para la cuenta.
1. Esta información se utiliza para el flujo de recuperación de las contraseñas perdidas, el flujo de recuperación de cuentas de los dispositivos MFA perdidos y para comunicaciones críticas relacionadas con la seguridad con su equipo.
2. Utilice una dirección de correo electrónico alojada en su dominio corporativo (preferiblemente una lista de distribución) como dirección de correo electrónico del usuario raíz. Al utilizar una lista de distribución en lugar de la cuenta de correo electrónico de una persona, se consigue redundancia y continuidad adicionales para acceder a la cuenta raíz durante largos periodos de tiempo.
3. El número de teléfono que figure en la información de contacto debe ser un teléfono dedicado y seguro para este fin. El número de teléfono no debe figurar en ninguna parte ni compartirse con nadie.
No cree claves de acceso para el usuario raíz. Si existen claves de acceso, elimínelas (CIS 1.4).
1. Elimine cualquier credencial programática de larga duración (claves de acceso y secretas) para el usuario raíz.
2. Si ya existen claves de acceso para el usuario raíz, debe hacer que los procesos que utilizan dichas claves pasen a utilizar claves de acceso temporales de un rol de AWS Identity and Access Management (IAM) y, a continuación, eliminar las claves de acceso del usuario raíz.
Determine si necesita almacenar las credenciales del usuario raíz.
1. Si utiliza AWS Organizations para crear nuevas cuentas miembro, la contraseña inicial del usuario raíz de esas nuevas cuentas miembro se establece en un valor aleatorio que no está expuesto a usted. Considere la posibilidad de utilizar el flujo de restablecimiento de las contraseñas desde su cuenta de administración de AWS Organization para obtener acceso a la cuenta miembro si es necesario.
2. Para Cuentas de AWS independientes o la cuenta de administración de AWS, considere la posibilidad de crear y almacenar de forma segura credenciales para el usuario raíz. Habilite MFA para el usuario raíz.
Habilite controles preventivos para usuarios raíz de cuentas miembro en entornos de varias cuentas de AWS.
1. Considere la posibilidad de habilitar la barrera de protección preventiva No permitir la creación de claves de acceso para el usuario raíz para las cuentas miembros.
2. Considere la posibilidad de habilitar la barrera de protección preventiva No permitir acciones como usuario raíz para las cuentas miembros.
Si necesita credenciales para el usuario raíz:
1. Utilice una contraseña compleja.
2. Habilite la autenticación multifactor (MFA) para el usuario raíz, especialmente para las cuentas de administración de AWS Organizations (pagador) (CIS 1.5).
3. Considere la posibilidad de usar dispositivos MFA físicos para mejorar la resiliencia y la seguridad, ya que los dispositivos de un solo uso pueden reducir las posibilidades de que los dispositivos que contienen los códigos MFA puedan reutilizarse para otros fines. Verifique que los dispositivos MFA físicos que funcionan con baterías se sustituyan con regularidad. (CIS 1.6)
  - Para configurar MFA para el usuario raíz, siga las instrucciones para habilitar un dispositivo MFA virtual o un dispositivo MFA físico.
4. Considere la posibilidad de inscribir varios dispositivos MFA de reserva. Se permiten hasta 8 dispositivos MFA por cuenta.
  - Tenga en cuenta que, si inscribe más de un dispositivo MFA para el usuario raíz, se desactiva automáticamente el flujo para recuperar su cuenta si el dispositivo MFA se pierde.
5. Guarde la contraseña con todas las medidas de seguridad y tenga en cuenta las dependencias circulares si la guarda electrónicamente. No guarde la contraseña de forma que sea necesario acceder a la misma Cuenta de AWS para obtenerla.
Opcional: considere la posibilidad de establecer un programa de rotación periódica de contraseñas para el usuario raíz.
- Las prácticas recomendadas de administración de credenciales dependen de los requisitos de las normativas y políticas que tenga. Los usuarios raíz protegidos por MFA no dependen de una contraseña como único factor de autenticación.
- Cambiar la contraseña del usuario raíz de forma periódica reduce el riesgo de que se utilice de forma indebida si se ha expuesto de forma inadvertida.

Controles de detección

Cree alarmas para detectar el uso de las credenciales del usuario raíz (CIS 1.7). Si se habilita Amazon GuardDuty, este supervisará el uso de credenciales de API del usuario raíz y alertará de ese uso mediante el hallazgo de RootCredentialUsage.
Evalúe e implemente los controles de detección que se incluyen en el paquete de conformidad del pilar de seguridad de AWS Well-Architected para AWS Config o, si utiliza AWS Control Tower, los controles más recomendados que hay disponibles en Control Tower.

Guía operativa

Determine qué persona de la organización debe tener acceso a las credenciales del usuario raíz.
- Utilice la regla de dos personas para no haya una sola persona que tenga acceso a todas las credenciales y el dispositivo MFA necesarios para obtener acceso de usuario raíz.
- Compruebe que sea la organización, y no un único individuo, quien mantenga un control del número de teléfono y el alias de correo electrónico asociados a la cuenta (que se utilizan para el restablecimiento de la contraseña y el flujo de restablecimiento de MFA).
Utilice el usuario raíz únicamente de forma excepcional (CIS 1.7).
- El usuario raíz de AWS no debe utilizarse para las tareas diarias, ni siquiera para las tareas administrativas. Inicie sesión únicamente como usuario raíz para realizar las tareas de AWS que requieran dicho usuario. Todas las demás acciones deben realizarlas otros usuarios que asuman los roles apropiados.
Compruebe periódicamente que el acceso al usuario raíz funciona para poder probar los procedimientos antes de que se produzca una situación de emergencia que requiera el uso de las credenciales del usuario raíz.
Compruebe periódicamente que la dirección de correo electrónico asociada a la cuenta y las que figuran en los contactos alternativos funcionan. Supervise las bandejas de entrada de estas direcciones de correo electrónico para comprobar si se reciben notificaciones de seguridad de <abuse@amazon.com>. Asegúrese también de que los números de teléfono asociados a la cuenta funcionan.
Prepare procedimientos de respuesta a incidentes para responder al uso indebido de la cuenta raíz. Consulte la AWS Security Incident Response Guide (Guía de respuesta a incidentes de seguridad de AWS) y las prácticas recomendadas de la sección Incident Response (Respuesta a incidentes) del documento técnico sobre los pilares de seguridad para obtener más información sobre la creación de una estrategia de respuesta a incidentes para su Cuenta de AWS.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

AWS Control Tower
AWS Security Audit Guidelines (Directivas de auditoría de seguridad de AWS)
Prácticas recomendadas de seguridad en IAM
Amazon GuardDuty: alerta sobre el uso de credenciales raíz
Step-by-step guidance on monitoring for root credential use through CloudTrail (Guía paso a paso para supervisar el uso de credenciales raíz a través de Control Tower)
MFA tokens approved for use with AWS (Tokens MFA aprobados para su uso con AWS)
Implementación del acceso con rotura de cristales en AWS
Top 10 security items to improve in your Cuenta de AWS (Los 10 elementos de seguridad que debe mejorar en su cuenta de AWS)
What do I do if I notice unauthorized activity in my Cuenta de AWS? (¿Qué hago si observo actividad no autorizada en mi cuenta de AWS?

Vídeos relacionados:

Enable AWS adoption at scale with automation and governance (Facilitar la adopción de AWS a escala con la automatización y la gobernanza)
Security Best Practices the Well-Architected Way (Prácticas recomendadas de seguridad al estilo de Well-Architected)
Limitación del uso de credenciales raíz de AWS de AWS re:inforce 2022 – Security best practices with AWS IAM (AWS re:inforce 2022: prácticas recomendadas de seguridad con AWS IAM)

Ejemplos relacionados y laboratorios:

Laboratorio: Cuenta de AWS and root user (La cuenta de AWS y el usuario raíz)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC01-BP01 Separar cargas de trabajo utilizando cuentas

SEC01-BP03 Identificar y validar objetivos de control