SEC03-BP01 Definir los requisitos de acceso

Los administradores, los usuarios finales u otros componentes deben acceder a cada componente o recurso de la carga de trabajo. Establezca una definición clara de quién o qué debe tener acceso a cada componente y elija el tipo de identidad y el método de autenticación y autorización adecuados.

Patrones comunes de uso no recomendados:

• Codificar de forma rígida o almacenar secretos en la aplicación.

• Conceder permisos personalizados para cada usuario.

• Utilizar credenciales de larga duración.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Los administradores, los usuarios finales u otros componentes deben acceder a cada componente o recurso de la carga de trabajo. Establezca una definición clara de quién o qué debe tener acceso a cada componente y elija el tipo de identidad y el método de autenticación y autorización adecuados.

El acceso regular a la Cuentas de AWS organización debe proporcionarse mediante un acceso federado o un proveedor de identidad centralizado. También debe centralizar la gestión de identidades y asegurarse de que existe una práctica establecida para integrar el acceso al ciclo de vida del AWS acceso de sus empleados. Por ejemplo, cuando un empleado cambia a un cargo con un nivel de acceso distinto, su pertenencia al grupo también debe cambiar para reflejar los nuevos requisitos de acceso.

Al definir los requisitos de acceso para las identidades que no son humanas, determine qué aplicaciones y componentes necesitan acceso y cómo se conceden los permisos. Se recomienda utilizar IAM roles creados con el modelo de acceso con privilegios mínimos. AWS Las políticas administradas proporcionan IAM políticas predefinidas que cubren los casos de uso más comunes.

AWS los servicios, como AWS Secrets ManagerAWSSystems Manager Parameter Store, pueden ayudar a desvincular los secretos de la aplicación o la carga de trabajo de forma segura en los casos en los que no es posible utilizar IAM funciones. En Secrets Manager, puede establecer una rotación automática de las credenciales. Puede usar Systems Manager para hacer referencia a los parámetros de sus scripts, comandos, SSM documentos, configuraciones y flujos de trabajo de automatización mediante el nombre exclusivo que especificó al crear el parámetro.

Puede usar AWS Identity and Access Management Roles Anywhere para obtener credenciales de seguridad temporales IAM para las cargas de trabajo que se ejecutan fuera de AWSél. Sus cargas de trabajo pueden usar las mismas IAMpolíticas y IAMroles que usa con las AWS aplicaciones para acceder AWS a los recursos.

Siempre que sea posible, se deben preferir las credenciales temporales a corto plazo en lugar de las credenciales estáticas a largo plazo. En aquellas situaciones en las que necesite usuarios con acceso programático y credenciales de larga duración, utilice la información de la última clave de acceso utilizada para rotar y eliminar las claves de acceso.

Los usuarios necesitan acceso programático si quieren interactuar con personas AWS ajenas a. AWS Management Console La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.

¿Qué usuario necesita acceso programático?	Para	Mediante
Identidad del personal (Los usuarios se administran en IAM Identity Center)	Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs.	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Configuración del AWS CLI uso AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario. Para AWS SDKs ver las herramientas y AWS APIs, consulte la autenticación de IAM Identity Center en la Guía de referencia de herramientas AWS SDKs y herramientas.
IAM	Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o AWS APIs.	Siga las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía del IAM usuario.
IAM	(No recomendado) Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs.	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Autenticación con credenciales IAM de usuario en la Guía del AWS Command Line Interface usuario. Para obtener AWS SDKs información sobre las herramientas, consulte Autenticarse con credenciales de larga duración en la Guía de referencia de herramientas AWS SDKs y herramientas. Para ello AWS APIs, consulte Administrar las claves de acceso de IAM los usuarios en la Guía del IAM usuario.

Recursos

Documentos relacionados:

• Control de acceso basado en atributos () ABAC

• AWS IAM Identity Center

• Roles de IAM en cualquier lugar

• AWS Políticas administradas para Identity Center IAM

• AWS IAMcondiciones de la política

• IAMcasos de uso

• Revisar y eliminar periódicamente usuarios, roles, permisos, políticas y credenciales no utilizados

• Uso de políticas de

• Cómo controlar el acceso a AWS los recursos en Cuenta de AWS función de la unidad organizativa o la organización

• Identifique, organice y gestione los secretos fácilmente mediante la búsqueda mejorada en AWS Secrets Manager

Videos relacionados:

• Conviértase en un experto en IAM políticas en 60 minutos o menos

• Separation of Duties, Least Privilege, Delegation, and CI/CD

• Streamlining identity and access management for innovation