SEC 3: ¿Cómo administra los permisos para las personas y las máquinas?

Administre los permisos para controlar el acceso a las identidades de las personas y de las máquinas que requieran acceso a AWS y a su carga de trabajo. Los permisos controlan a qué se tiene acceso, quién puede acceder y bajo qué condiciones lo hace.

Recursos

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

Prácticas recomendadas:

• Defina los requisitos de acceso: Cada componente o recurso de la carga de trabajo debe ser accedido por los administradores, los usuarios finales u otros componentes. Se debe tener una definición clara de quién o qué debe obtener acceso a cada componente. A continuación, se debe elegir el tipo de identidad y el método de autenticación y autorización adecuados.

• Conceda acceso con privilegios mínimos: Conceda solo el acceso requerido por las identidades al permitir el acceso a determinadas acciones en ciertos recursos de AWS bajo condiciones específicas. Utilice los grupos y los atributos de identidad para establecer permisos a escala de manera dinámica, en lugar de definir los permisos para usuarios individuales. Por ejemplo, puede permitir el acceso a un grupo de desarrolladores para que solo administren los recursos de su proyecto. De esta manera, cuando se elimina del grupo a un desarrollador, se revoca su acceso a los lugares en los que el grupo tiene control de acceso, sin que se necesite algún cambio en las políticas de acceso.

• Establezca un proceso de acceso de emergencia: Un proceso que permita el acceso de emergencia a la carga de trabajo en el caso poco probable de que se produzca un problema de canalización o un proceso automatizado. Esto lo ayudará a utilizar privilegios mínimos para el acceso, pero asegúrese de que los usuarios puedan obtener el nivel correcto de acceso cuando lo requieran. Por ejemplo, establezca un proceso para que los administradores verifiquen y aprueben su solicitud.

• Reduzca los permisos de manera continua: A medida que los equipos y las cargas de trabajo determinen qué acceso necesitan, elimine los permisos que ya no se utilicen y establezca procesos de revisión para obtener permisos de privilegios mínimos. Monitoree y reduzca de manera continua las identidades y los permisos que no se utilicen.

• Defina las medidas de seguridad de los permisos para su organización: Establezca controles comunes que limiten el acceso a todas las identidades de su organización. Por ejemplo, puede limitar el acceso a regiones específicas de AWS o evitar que sus operadores borren recursos comunes, tales como los roles de IAM utilizados por su equipo de seguridad central.

• Administre el acceso en función del ciclo de vida: Integre los controles de acceso con el ciclo de vida del operador y la aplicación y con el proveedor de la federación centralizada. Por ejemplo, retire el acceso de un usuario cuando abandone la organización o cambie de rol.

• Analice el acceso público y el acceso entre cuentas: Monitoree de manera continua los resultados que destaquen el acceso público y el acceso entre cuentas. Limite el acceso público y el acceso entre cuentas solo los recursos que lo requieran.

• Comparta los recursos de manera segura: Regule el consumo de los recursos compartidos en las cuentas o dentro de su organización de AWS. Monitoree los recursos compartidos y revise el acceso a ellos.

Plan de mejora

Defina los requisitos de acceso

Defina los privilegios necesarios para la función y las responsabilidades del trabajo: A partir de la función en el empleo, el rol o las responsabilidades del usuario, defina los recursos a los que se necesita acceder y las condiciones que pueden aplicarse. Agrupe a los usuarios con requisitos comunes para facilitar la delegación de las políticas.
IAM use cases

Conceda acceso con privilegios mínimos

Implemente políticas de privilegios mínimos: Asigne políticas de acceso con privilegios mínimos a los roles y grupos de IAM a fin de reflejar la función o rol del usuario que ha definido.
Grant least privilege

Elimine los permisos innecesarios: Implemente el privilegio mínimo mediante la eliminación de permisos que son innecesarios.
Reducing policy scope by viewing user activity
View role access

Tenga en cuenta los límites de los permisos: El límite de los permisos es una característica avanzada, para utilizar una política administrada que establece los permisos máximos que una política basada en la identidad puede conceder a una entidad de IAM. El límite de permisos de una entidad le posibilita realizar solo las acciones que están permitidas por las políticas basadas en la identidad y los límites de permisos.
Lab: IAM permissions boundaries delegating role creation

Tenga en cuenta las etiquetas de recursos para los permisos: Puede utilizar etiquetas para controlar el acceso a los recursos de AWS que admiten el etiquetado. También puede etiquetar a los roles y usuarios de IAM a fin de controlar a qué pueden acceder.
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

Establezca un proceso de acceso de emergencia

Aprovisione previamente el acceso de emergencia: Aprovisionar previamente un rol para el acceso de emergencia desde una cuenta de confianza, como una que se utiliza para el equipo de seguridad, puede ayudarlo a obtener acceso con rapidez.
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles

Reduzca los permisos de manera continua

Configure el analizador de acceso de IAM: El analizador de acceso de AWS IAM lo ayuda a identificar los recursos de su organización y sus cuentas, como los buckets de Amazon S3 o los roles de IAM, que se comparten con una entidad externa.
AWS IAM Access Analyzer

Defina las medidas de seguridad de los permisos para su organización

Defina restricciones comunes que se apliquen a todas las identidades: Cree un número de restricciones que pueda aplicar utilizando AWS Organizations en función de los requisitos únicos de su organización, como, por ejemplo, el acceso solo a una región específica de AWS.
AWS Organizations Service Control Policies

Utilice AWS Control Tower para administrar las medidas de seguridad: Cree un número de restricciones que pueda aplicar utilizando AWS Organizations en función de los requisitos únicos de su organización, como, por ejemplo, el acceso solo a una región específica de AWS.
AWS Control Tower Guardrails

Administre el acceso en función del ciclo de vida

Ciclo de vida del acceso del usuario: Implemente una política de ciclo de vida del acceso del usuario para los usuarios que recién se incorporen, los cambios de funciones de trabajo y los usuarios que se retiren, a fin de facilitar el acceso solo a los usuarios actuales.

Analice el acceso público y el acceso entre cuentas

Configure el analizador de acceso de IAM: El analizador de acceso de AWS IAM lo ayuda a identificar los recursos de su organización y sus cuentas, como los buckets de Amazon S3 o los roles de IAM, que se comparten con una entidad externa.
AWS IAM Access Analyzer

Comparta los recursos de manera segura

Utilice AWS Resource Access Manager: AWS Resource Access Manager (RAM) es un servicio que le permite compartir los recursos de AWS con cualquier cuenta de AWS o dentro de su organización de AWS de forma sencilla y segura.
AWS Resource Access Manager