SEC03-BP06 Administración del acceso en función del ciclo de vida

Supervise y ajuste los permisos otorgados a sus entidades principales (usuarios, cargos y grupos) a lo largo de su ciclo de vida dentro de su organización. Ajuste la pertenencia a grupos a medida que los usuarios cambien de cargo y elimine el acceso cuando un usuario abandone la organización.

Resultado deseado: supervisar y ajustar los permisos a lo largo del ciclo de vida de las entidades principales de la organización, lo que reduce el riesgo de privilegios innecesarios. Conceder el acceso pertinente al crear un usuario. Modificar el acceso a medida que cambien las responsabilidades del usuario y eliminar el acceso cuando el usuario ya no está activo o ha abandonado la organización. Gestionar de forma centralizada los cambios en los usuarios, los cargos y los grupos. Utilizar la automatización para propagar los cambios en sus entornos de AWS.

Antipatrones usuales:

• Conceder privilegios de acceso excesivos o amplios a las identidades por adelantado, más allá de lo que se requiere inicialmente.

• No revisar ni ajustar los privilegios de acceso, a medida que los cargos y las responsabilidades de las identidades cambian con el tiempo.

• Dejar identidades inactivas o terminadas con privilegios de acceso activos. Esto aumenta el riesgo de acceso no autorizado.

• No automatizar la administración de los ciclos de vida de las identidades.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio

Guía para la implementación

Administre y ajuste cuidadosamente los privilegios de acceso que otorga a las identidades (como usuarios, cargos y grupos) a lo largo de su ciclo de vida. Este ciclo de vida incluye la fase de incorporación inicial, los cambios continuos en los cargos y las responsabilidades y, en última instancia, la baja o el despido. Gestione el acceso de forma proactiva en función de la etapa del ciclo de vida para mantener el nivel de acceso adecuado. Respete el principio de privilegio mínimo para reducir el riesgo de privilegios de acceso excesivos o innecesarios.

Puede administrar el ciclo de vida de IAM users directamente dentro de la Cuenta de AWS, o mediante la federación del proveedor de identidades de su personal con el AWS IAM Identity Center. Para IAM users, puede crear, modificar y eliminar usuarios y sus permisos asociados dentro de la Cuenta de AWS. En el caso de los usuarios federados, puede utilizar el IAM Identity Center para administrar su ciclo de vida sincronizando la información de usuarios y grupos del proveedor de identidades de su organización mediante el protocolo del sistema de administración de identidades entre dominios (System for Cross-domain Identity Management o SCIM).

El SCIM es un protocolo estándar abierto para el aprovisionamiento y desaprovisionamiento automatizados de identidades de usuario en diferentes sistemas. Al integrar su proveedor de identidades con el IAM Identity Center mediante SCIM, puede sincronizar automáticamente la información de los usuarios y los grupos, lo que ayuda a validar que los privilegios de acceso se concedan, modifiquen o revoquen en función de los cambios en la fuente de identidad autorizada de su organización.

A medida que cambien los cargos y responsabilidades de los empleados dentro de su organización, ajuste sus privilegios de acceso en consecuencia. Puede usar los conjuntos de permisos de IAM Identity Center para definir diferentes cargos o responsabilidades laborales y asociarlos a las políticas y los permisos de IAM correspondientes. Cuando cambia el cargo de un empleado, puede actualizar su conjunto de permisos asignado para que refleje sus nuevas responsabilidades. Verifique que tenga el acceso necesario y, al mismo tiempo, cumpla el principio de privilegio mínimo.

Pasos para la implementación

1. Defina y documente un proceso del ciclo de vida de la administración de accesos, incluidos los procedimientos para conceder el acceso inicial, las revisiones periódicas y la baja.

2. Implemente límites de roles, grupos y permisos de IAM para administrar el acceso de manera colectiva y aplicar los niveles de acceso máximos permitidos.

3. Realice una integración con un proveedor de identidades federado (como Microsoft Active Directory, Okta o Ping Identity) como fuente autorizada de la información de usuarios y grupos mediante IAM Identity Center.

4. Utilice el protocolo SCIM para sincronizar la información de usuarios y grupos del proveedor de identidades con el almacén de identidades de IAM Identity Center.

5. Cree conjuntos de permisos en IAM Identity Center que representen diferentes cargos o responsabilidades laborales dentro de su organización. Defina las políticas y los permisos de IAM adecuados para cada conjunto de permisos.

6. Implemente revisiones del acceso periódicas, la revocación rápida del acceso y la mejora continua del proceso del ciclo de vida de la administración accesos.

7. Proporcione formación y concienciación a los empleados sobre las prácticas recomendadas de administración de accesos.

Recursos

Prácticas recomendadas relacionadas:

• SEC02-BP04 Implementación de un proveedor de identidades centralizado

Documentos relacionados:

• Manage your identity source

• Manage identities in IAM Identity Center

• Using AWS Identity and Access Management Access Analyzer

• Generación de políticas de IAM Access Analyzer

Vídeos relacionados:

• AWS re:Inforce 2023 - Manage temporary elevated access with AWS IAM Identity Center

• AWS re:Invent 2022 - Simplify your existing workforce access with IAM Identity Center

• AWS re:Invent 2022 - Harness power of IAM policies & rein in permissions w/Access Analyzer