AWS Identity and Access Management - Información general sobre el cumplimiento del reglamento GDPR en AWS

AWS Identity and Access Management

Al crear una cuenta de AWS, se crea automáticamente una cuenta de usuario raíz para la cuenta de AWS. Esta cuenta tiene acceso completo a todos los servicios y recursos de AWS de su cuenta de AWS. En lugar de usar esta cuenta para tareas diarias, solo debe usarla para crear inicialmente roles y cuentas de usuario adicionales, y para actividades administrativas que lo requieran. AWS recomienda aplicar el principio de privilegios mínimos desde los inicios: defina diferentes cuentas de usuario y roles para diferentes tareas y especifique el conjunto mínimo de permisos necesarios para completar cada tarea. Este enfoque es un mecanismo para adaptar un concepto clave introducido en el RGPD: la protección de datos desde el proceso de diseño. AWS Identity and Access Management (IAM) es un servicio web que puede utilizar para controlar de forma segura el acceso a sus recursos de AWS.

Los usuarios y los roles definen identidades de IAM con permisos específicos. Un usuario autorizado puede asumir un rol de IAM para realizar tareas específicas. Las credenciales temporales se crean cuando se asume el rol. Por ejemplo, puede utilizar roles de IAM para proporcionar de forma segura aplicaciones que se ejecutan en Amazon Elastic Compute Cloud (Amazon EC2) con las credenciales temporales necesarias para acceder a otros recursos de AWS, como buckets de Amazon S3 y Amazon Relational Database Service (Amazon RDS) o bases de datos de Amazon DynamoDB. Del mismo modo, los roles de ejecución proporcionan a las funciones de AWS Lambda los permisos necesarios para acceder a otros servicios y recursos de AWS, como Amazon CloudWatch Logs para la transmisión de registros o la lectura de un mensaje desde una cola de Amazon Simple Queue Service (Amazon SQS). Al crear un rol, se añaden políticas para definir las autorizaciones.

Para ayudar a los clientes a supervisar las políticas de recursos e identificar recursos con acceso público o multicuenta que quizá no pretendían, se puede habilitar el IAM Access Analyzer para generar resultados exhaustivos que identifiquen los recursos a los que se puede acceder desde fuera de una cuenta de AWS. El IAM Access Analyzer evalúa las políticas de recursos con la lógica matemática y la inferencia para determinar las posibles rutas de acceso permitidas por las políticas. El IAM Access Analyzer supervisa continuamente las políticas nuevas o actualizadas, y analiza los permisos otorgados mediante políticas para los roles de IAM, aunque también para los recursos de los servicios como los buckets de Amazon S3, las claves de AWS Key Management Service (AWS KMS), las colas de Amazon SQS y las funciones de AWS Lambda.

Access Analyzer para S3 le avisa de los buckets que están configurados para permitir el acceso a cualquier usuario de Internet u otras cuentas de AWS, incluidas las cuentas de AWS ajenas a su organización. Al revisar un bucket en riesgo en Access Analyzer para Amazon S3, puede bloquear todo el acceso público al bucket con un solo clic. AWS recomienda que bloquee todo el acceso a sus buckets a menos que necesite acceso público para admitir un caso de uso específico. Antes de bloquear todo el acceso público, asegúrese de que las aplicaciones sigan funcionando correctamente sin ese acceso público. Para obtener más información, consulte el tema sobre el uso de Amazon S3 para bloquear el acceso público.

IAM también proporciona la información a la que se accedió por última vez para poder identificar los permisos no utilizados y que pueda eliminarlos de las entidades principales asociadas. Con la última información a la que se accedió, puede afinar sus políticas y permitir el acceso solo a los servicios y acciones necesarios. De este modo, podrá aplicar mejor las prácticas recomendadas del principio de privilegios mínimos. Puede ver la información a la que se accedió por última vez para las entidades o políticas que existen en IAM o en todo un entorno de AWS Organizations.