COST02-BP04 Implementar grupos y roles

Implemente grupos y roles que se ajusten a sus políticas y controle quién puede crear, modificar o retirar instancias y recursos en cada grupo. Por ejemplo, implementar grupos de desarrollo, de pruebas y de producción. Esto se aplica a los servicios de AWS y a las soluciones de terceros.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: bajo

Guía para la implementación

Los roles y los grupos de usuarios son elementos fundamentales en el diseño y la implementación de sistemas seguros y eficaces. Los roles y los grupos ayudan a las organizaciones a equilibrar la necesidad de control con el requisito de flexibilidad y productividad, lo que facilita, en última instancia, los objetivos de la organización y las necesidades de los usuarios. Tal y como se recomienda en la sección «Administración de identidades y accesos» del pilar de seguridad de AWS Well-Architected Framework, necesita tener una administración de identidades y permisos sólida para proporcionar acceso a los recursos correctos a las personas adecuadas en las condiciones adecuadas. Los usuarios reciben solo el acceso necesario para completar sus tareas. Esto minimiza el riesgo asociado con el acceso no autorizado o el uso indebido.

Después de desarrollar las políticas, puede crear grupos lógicos y roles de usuario dentro de la organización. Esto le permite asignar permisos, controlar el uso y ayudar a implementar mecanismos de control de acceso sólidos, lo que evita el acceso no autorizado a la información confidencial. Empiece con grupos de personas de alto nivel. Esto suele corresponderse con unidades organizativas y roles de trabajos (por ejemplo, el administrador de sistemas del departamento de TI, el controlador financiero o los analistas empresariales). Los grupos permiten clasificar a las personas que realizan tareas similares y necesitan accesos similares. Los roles definen lo que debe hacer un grupo. Es más fácil administrar permisos de grupos y roles que permisos de usuarios individuales. Los roles y los grupos asignan permisos de manera uniforme y sistemática a todos los usuarios, lo que evita errores e incoherencias.

Cuando cambia el rol de un usuario, los administradores pueden ajustar el acceso a nivel de rol o grupo, en lugar de volver a configurar cuentas de usuario individuales. Por ejemplo, un administrador de sistemas del departamento de TI requiere acceso para crear todos los recursos, pero un miembro del equipo de análisis solo lo necesita para crear recursos de análisis.

Pasos para la implementación

• Implemente grupos: use los grupos de usuarios definidos en sus políticas organizativas para implementar los grupos correspondientes, si es necesario. Para conocer las prácticas recomendadas sobre usuarios, grupos y autenticación, consulte «Pilar de seguridad: AWS Well-Architected Framework».

• Implemente roles y políticas: use las acciones definidas en sus políticas organizativas para crear los roles y las políticas de acceso necesarios. Para conocer las prácticas recomendadas sobre roles y políticas, consulte «Pilar de seguridad: AWS Well-Architected Framework».

Recursos

Documentos relacionados:

• «Managed Policies de AWS para funciones de trabajo»

• Estrategia de facturación de varias cuentas de AWS

• «Pilar de seguridad: AWS Well-Architected Framework»

• AWS Identity and Access Management (IAM)

• Políticas de AWS Identity and Access Management

Vídeos relacionados:

• «Why use Identity and Access Management»

Ejemplos relacionados:

• Well-Architected Lab Basic Identity and Access (Laboratorio de Well-Architechted: identidad y acceso básicos)

• «Control access to Regiones de AWS using IAM policies»

• «Starting your Cloud Financial Management journey: Cloud cost operations»