SEC 2: ¿Cómo administra las identidades para las personas y las máquinas?

Hay dos tipos de identidades que necesitará administrar cuando aborde las cargas de trabajo operativas de AWS. Conocer el tipo de identidad que debe administrar y a la cual debe conceder acceso lo ayuda asegurarse de que las identidades correctas tengan acceso a los recursos correctos bajo las condiciones correctas. Identidades humanas: los administradores, los desarrolladores, los operadores y los usuarios finales requieren una identidad para obtener acceso a los entornos y a las aplicaciones de AWS. Estos son miembros de su organización o usuarios externos con los que colabora, que interactúan con sus recursos de AWS mediante un navegador web, una aplicación cliente o herramientas interactivas de línea de comandos. Identidades de máquinas: las aplicaciones de servicios, las herramientas operativas y las cargas de trabajo requieren una identidad para realizar solicitudes a los servicios de AWS, como, por ejemplo, para leer datos. Estas identidades incluyen máquinas que se ejecutan en su entorno de AWS, como las instancias de Amazon EC2 o las funciones de AWS Lambda. También puede administrar las identidades de máquinas para los usuarios externos que necesiten acceso. Además, también puede tener máquinas fuera de AWS que necesiten acceso a su entorno de AWS.

Recursos

Mastering identity at every layer of the cake
Managing user permissions at scale with AWS SSO
Best Practices for Managing, Retrieving, and Rotating Secrets at Scale
IAM Best Practices
The AWS Account Root User
Getting Started with AWS Secrets Manager
Temporary Security Credentials
Identity Providers and Federation
Security Partner Solutions: Access and Access Control

Prácticas recomendadas:

• Utilice mecanismos de inicio de sesión seguros: Aplique contraseñas de longitud mínima e instruya a los usuarios para que eviten elegir contraseñas comunes o que ya utilizaron. Aplique la autenticación multifactor (MFA) con mecanismos de software o hardware para ofrecer una capa adicional.

• Utilice credenciales temporales: Solicite a las identidades que adquieran credenciales temporales de manera dinámica. Para las identidades del personal, utilice AWS Single Sign-On o la federación con roles de IAM para acceder a las cuentas de AWS. Para las identidades de máquinas, solicite la utilización de roles de IAM en lugar de claves de acceso a largo plazo.

• Almacene y utilice los secretos de manera segura: Para las identidades del personal y de máquinas que requieran secretos, tales como contraseñas para aplicaciones de terceros, almacene estos secretos con rotación automática utilizando los estándares más modernos del sector en un servicio especializado.

• Utilice un proveedor centralizado de identidad: Para las identidades del personal, utilice un proveedor de identidad que le permita administrar las identidades en un lugar centralizado. Esto le permite crear, administrar y revocar el acceso desde una sola ubicación, facilitando la administración del acceso. Esto elimina el requisito de necesitar credenciales múltiples y brinda la oportunidad de integrar los procesos de RR. HH.

• Audite y rote las credenciales de manera periódica: Cuando no pueda utilizar las credenciales temporales y requiera de credenciales a largo plazo, audite las credenciales para garantizar que los controles definidos (por ejemplo, MFA) se apliquen, roten regularmente y tengan un nivel de acceso adecuado.

• Aproveche los grupos y los atributos de usuarios: Ubique a los usuarios con requisitos de seguridad comunes en grupos definidos por su proveedor de identidad e implemente mecanismos para garantizar que los atributos de los usuarios que puedan ser utilizados para controlar el acceso (por ejemplo, departamento o ubicación) sean correctos y estén actualizados. Utilice estos grupos y atributos, en lugar de los usuarios individuales, para controlar el acceso. Esto le permite administrar el acceso de manera centralizada al cambiar la pertenencia a un grupo de usuarios o los atributos solo una vez, en lugar de actualizar varias políticas individuales cuando necesita cambiar el acceso de un usuario.

Plan de mejora

Utilice mecanismos de inicio de sesión seguros

Cree una política de IAM para aplicar la MFA de inicio: Cree una política de IAM administrada por el cliente que prohíba todas las acciones de IAM excepto aquellas que permiten al usuario asumir roles, cambiar sus propias credenciales y administrar sus dispositivos de MFA en la página Mis credenciales de seguridad.
https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1

Permita la MFA en el proveedor de identidad: Permita la MFA en el proveedor de identidad o servicio de inicio de sesión único, como AWS Single Sign-On (SSO), que utiliza.
https://aws.amazon.com/iam/details/mfa/

Configure una política de contraseña segura: Configure una política de contraseña segura en IAM y sistemas de identificación federados para que lo protejan contra ataques de fuerza bruta.
http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html

Rote las credenciales de manera regular: Garantice que los administradores de la carga de trabajo cambien periódicamente sus contraseñas y claves de acceso (si se utilizan).
Rotate credentials regularly

Utilice credenciales temporales

Implemente políticas de privilegios mínimos: Asigne políticas de acceso con privilegios mínimos a los roles y grupos de IAM a fin de reflejar la función o rol del usuario que ha definido.
Grant least privilege

Elimine los permisos innecesarios: Implemente el privilegio mínimo mediante la eliminación de permisos que son innecesarios.
Reducing policy scope by viewing user activity
View role access

Tenga en cuenta los límites de los permisos: El límite de los permisos es una característica avanzada, para utilizar una política administrada que establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. El límite de permisos de una entidad le posibilita realizar solo las acciones que están permitidas por las políticas basadas en la identidad y los límites de permisos.
Lab: IAM permissions boundaries delegating role creation

Tenga en cuenta las etiquetas de recursos para los permisos: Puede utilizar etiquetas para controlar el acceso a los recursos de AWS que admiten el etiquetado. También puede etiquetar a los roles y usuarios de IAM a fin de controlar a qué pueden acceder.
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

Almacene y utilice los secretos de manera segura

Utilice AWS Secrets Manager: AWS Secrets Manager es un servicio de AWS que le facilita administrar los secretos. Los secretos pueden ser credenciales de una base de datos, contraseñas, claves de API de terceros e incluso texto arbitrario.
AWS Secrets Manager

Utilice un proveedor centralizado de identidad

Centralice los accesos administrativos: Cree una entidad proveedora de identidad de IAM a fin de establecer una relación de confianza entre las cuentas de AWS y el proveedor de identidad (IdP). IAM admite los IdP que son compatibles con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0).
Identity Providers and Federation

Centralice el acceso de la aplicación: Tenga en cuenta Amazon Cognito para centralizar el acceso de la aplicación. Esto le permite agregar el registro del usuario, el inicio de sesión y control de acceso a sus aplicaciones móviles o web rápida y fácilmente. Amazon Cognito escala a millones de usuarios y admite el inicio de sesión con proveedores de identidad social, como Facebook, Google y Amazon y empresas proveedoras de identidad mediante SAML 2.0.
Amazon Cognito

Elimine los antiguos grupos y usuarios de IAM: Después de que comience a utilizar un proveedor de identidad (IdP), elimine los grupos y usuarios de IAM que ya no se necesitan.
Finding unused credentials
Deleting an IAM group

Audite y rote las credenciales de manera periódica

Audite las credenciales de manera regular: Utilice los informes de las credenciales y el analizador de acceso de IAM para auditar los permisos y credenciales de IAM.
IAM Access Analyzer
Getting credential report
Lab: Automated IAM user cleanup

Utilice los niveles de acceso para revisar los permisos de IAM: A fin de mejorar la seguridad de su cuenta AWS, monitoree y revise de manera regular cada una de sus políticas de IAM. Asegúrese de que las políticas concedan el privilegio mínimo que se necesita para llevar a cabo solo las acciones necesarias.
Use access levels to review IAM permissions

Tenga en cuenta las actualizaciones y creación de recursos IAM automatizados: AWS CloudFormation se puede utilizar para automatizar las implementaciones de recursos de IAM, incluidos los roles y las políticas, a fin de reducir el error humano, ya que las plantillas que se pueden verificar y controlar la versión.
Lab: Automated deployment of IAM groups and roles

Aproveche los grupos y los atributos de usuarios

Si utiliza AWS Single Sign-On (SSO), configure los grupos: AWS SSO le brinda la capacidad de configurar grupos de usuarios y asignar a los grupos el nivel de permiso deseado.
AWS Single Sign-On - Manage Identities

Aprenda acerca del control de acceso basado en atributos (ABAC): El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los permisos basados en atributos.
What Is ABAC for AWS?
Lab: IAM Tag Based Access Control for EC2