SEC02-BP04 Confíe en un proveedor de identidad centralizado

Para las identidades de la plantilla (empleados y contratistas), recurra a un proveedor de identidades que le permita administrar las identidades desde un lugar centralizado. De este modo se facilita la administración del acceso en varias aplicaciones y sistemas, pues crea, asigna, administra, revoca y audita el acceso desde un único lugar.

Resultado deseado: dispone de un proveedor de identidad centralizado que gestiona de forma centralizada los usuarios del personal, las políticas de autenticación (por ejemplo, la exigencia de la autenticación multifactorial (MFA)) y la autorización de los sistemas y las aplicaciones (por ejemplo, la asignación del acceso en función de la pertenencia al grupo o los atributos del usuario). Los usuarios de la plantilla inician sesión en el proveedor de identidades central y se federan (inicio de sesión único) en aplicaciones internas y externas, lo que elimina la necesidad de que los usuarios recuerden varias credenciales. El proveedor de identidades está integrado en sus sistemas de recursos humanos (RR. HH.) para que los cambios de personal se sincronicen automáticamente con su proveedor de identidades. Por ejemplo, si alguien abandona su organización, puede revocar automáticamente el acceso a las aplicaciones y sistemas federados (incluidos). AWS Ha habilitado el registro de auditoría detallado en su proveedor de identidades y supervisa estos registros para detectar comportamientos inusuales de los usuarios.

Patrones comunes de uso no recomendados:

No utiliza la federación ni el inicio de sesión único. Los usuarios de la plantilla crean cuentas de usuario y credenciales independientes en diversas aplicaciones y sistemas.
No ha automatizado el ciclo de vida de las identidades de los usuarios de la plantilla, por ejemplo, no ha integrado su proveedor de identidades en sus sistemas de recursos humanos. Cuando un usuario abandona la organización o cambia de rol, se sigue un proceso manual para eliminar o actualizar sus registros en varias aplicaciones y sistemas.

Beneficios de establecer esta práctica recomendada: al usar un proveedor de identidades centralizado, hay un único lugar en el que se administran las identidades y políticas de los usuarios en plantilla, la capacidad de asignar acceso a aplicaciones a los usuarios y grupos y la capacidad de supervisar la actividad de inicio de sesión de los usuarios. Al integrarse en sus sistemas de recursos humanos (RR. HH.), cuando un usuario cambia de rol, estos cambios se sincronizan con el proveedor de identidades, y las aplicaciones y permisos asignados se actualizan automáticamente. Cuando un usuario abandona la organización, su identidad se inhabilita automáticamente en el proveedor de identidades, lo que revoca su acceso a las aplicaciones y sistemas federados.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Guía para el acceso a AWS de los usuarios en plantilla

Es posible que los usuarios de la fuerza laboral, como los empleados y los contratistas de su organización, necesiten AWS acceder a la función AWS Management Console o AWS Command Line Interface (AWS CLI) para desempeñar sus funciones laborales. Puede conceder AWS acceso a los usuarios de su fuerza laboral federándolos desde su proveedor de identidad centralizado AWS en dos niveles: federación directa a cada uno de ellos Cuenta de AWS o federando varias cuentas de su AWS organización.

Para federar a los usuarios de tu plantilla directamente con cada uno de ellos Cuenta de AWS, puedes usar un proveedor de identidad centralizado para AWS Identity and Access Managementfederarlos en esa cuenta. La flexibilidad de IAM le permite habilitar un proveedor de identidad SAML2.0 o Open ID Connect (OIDC) independiente para cada uno Cuenta de AWS y utilizar atributos de usuario federados para el control de acceso. Los usuarios de su plantilla utilizarán su navegador web para iniciar sesión en el proveedor de identidad proporcionando sus credenciales (como contraseñas y códigos MFA simbólicos). El proveedor de identidad envía una SAML confirmación a su navegador que se envía al inicio de AWS Management Console sesión URL para que el usuario pueda iniciar sesión de forma única en él AWS Management Console asumiendo un rol. IAM Los usuarios también pueden obtener AWS API credenciales temporales para usarlas en el rol AWS CLIo AWS SDKsdesde él si AWS STS asumen el IAM rol mediante una SAML afirmación del proveedor de identidades.
Para federar a los usuarios de su fuerza laboral con varias cuentas en su AWS organización, puede utilizarla AWS IAM Identity Centerpara administrar de forma centralizada el acceso de los usuarios de su fuerza laboral a las aplicaciones Cuentas de AWS y a las aplicaciones. Puede habilitar Identity Center para su organización y configurar el origen de las identidades. IAMIdentity Center proporciona un directorio de fuentes de identidad predeterminado que puede usar para administrar sus usuarios y grupos. Como alternativa, puedes elegir una fuente de identidad externa conectándote a tu proveedor de identidad externo mediante la SAML versión 2.0 y aprovisionando automáticamente usuarios y grupos mediante SCIM o conectándote a tu directorio de Microsoft AD mediante AWS Directory Service. Una vez configurada una fuente de identidad, puedes asignar el acceso a los usuarios y grupos Cuentas de AWS definiendo políticas de privilegios mínimos en tus conjuntos de permisos. Los usuarios en plantilla pueden autenticarse a través de su proveedor de identidades central para iniciar sesión en el portal de acceso de AWS e iniciar sesión de forma única en Cuentas de AWS y en las aplicaciones en la nube que tengan asignadas. Los usuarios pueden configurar la AWS CLI versión 2 para autenticarse en Identity Center y obtener credenciales para ejecutar comandos. AWS CLI Identity Center también permite el acceso mediante inicio de sesión único a AWS aplicaciones como los portales Amazon SageMaker Studio y AWS IoT Sitewise Monitor.

Tras seguir las instrucciones anteriores, los usuarios de su plantilla ya no necesitarán utilizar IAM usuarios y grupos para sus operaciones normales cuando gestionen las cargas de trabajo. AWS En cambio, sus usuarios y grupos se administran de forma externa a los AWS recursos AWS y los usuarios pueden acceder a ellos como una identidad federada. Las identidades federadas utilizan los grupos definidos por el proveedor de identidades centralizado. Debe identificar y eliminar los IAM grupos, IAM los usuarios y las credenciales de usuario de larga duración (contraseñas y claves de acceso) que ya no necesite. Cuentas de AWS Puede encontrar las credenciales no utilizadas mediante los informes de IAM credenciales, eliminar los IAM usuarios correspondientes y eliminar IAM los grupos. Puede aplicar una política de control de servicios (SCP) a su organización que ayude a evitar la creación de nuevos IAM usuarios y grupos, y que obligue a acceder a ellos mediante AWS identidades federadas.

Guía para los usuarios de sus aplicaciones

Puede administrar las identidades de los usuarios de sus aplicaciones, como una aplicación móvil, mediante Amazon Cognito como proveedor de identidades centralizado. Amazon Cognito permite la autenticación, autorización y administración de usuarios para sus aplicaciones móviles y web. Amazon Cognito proporciona un almacén de identidades que se escala a millones de usuarios, admite la federación de identidades sociales y empresariales, y ofrece características de seguridad avanzadas para ayudar a proteger a sus usuarios y a su empresa. Puede integrar su aplicación web o móvil personalizada en Amazon Cognito para agregar autenticación de usuarios y control de acceso a sus aplicaciones en cuestión de minutos. Basado en estándares de identidad abiertos, como SAML Open ID Connect (OIDC), Amazon Cognito admite diversas normativas de conformidad y se integra con los recursos de desarrollo de frontend y backend.

Pasos para la implementación

Pasos para los usuarios em plantilla que acceden a AWS

Combine a los usuarios de sus empleados para que AWS utilicen un proveedor de identidad centralizado mediante uno de los siguientes enfoques:
- Utilice IAM Identity Center para permitir el inicio de sesión único Cuentas de AWS en varios miembros de su AWS organización mediante la federación con su proveedor de identidades.
- Úselo IAM para conectar su proveedor de identidad directamente con cada uno de ellos Cuenta de AWS, lo que permite un acceso federado y detallado.
Identifique y elimine IAM los usuarios y grupos que se sustituyan por identidades federadas.

Pasos para los usuarios de sus aplicaciones

Utilice Amazon Cognito como proveedor de identidades centralizado para sus aplicaciones.
Integre sus aplicaciones personalizadas con Amazon Cognito mediante OpenID Connect y. OAuth Puede desarrollar sus aplicaciones personalizadas mediante las bibliotecas Amplify, que proporcionan interfaces sencillas para integrarlas con una variedad de AWS servicios, como Amazon Cognito para la autenticación.

Recursos

Prácticas recomendadas de Well-Architected relacionadas:

Documentos relacionados:

Videos relacionados:

Ejemplos relacionados:

Herramientas relacionadas:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC02-BP03 Almacene y utilice los secretos de forma segura

SEC02-BP05 Audite y modifique las credenciales periódicamente