Prácticas recomendadas para el usuario raíz para la Cuenta de AWS
Cuando crea una Cuenta de AWS por primera vez, comienza con un conjunto predeterminado de credenciales con acceso completo a todos los recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS. Se recomienda encarecidamente no acceder al usuario raíz de la Cuenta de AWS a menos que exista una tarea que requiera credenciales de usuario raíz. Debe proteger las credenciales de usuario raíz y los mecanismos de recuperación de la cuenta para asegurarse de no exponer las credenciales dotadas de muchos privilegios a un uso no autorizado.
En el caso de varias Cuentas de AWS administradas a través de Organizations, recomendamos eliminar las credenciales de usuario raíz de las cuentas de miembros para evitar el uso no autorizado. Puede eliminar la contraseña del usuario raíz, las claves de acceso y los certificados de firma, así como desactivar y eliminar la autenticación multifactor (MFA). Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz. Para obtener más información, consulte Administre de forma centralizada el acceso raíz a las cuentas de miembros.
En lugar de acceder al usuario raíz, cree un usuario administrativo para las tareas cotidianas.
-
Si tiene una Cuenta de AWS nueva, consulte Configuración de la Cuenta de AWS.
-
Si se trata de varias Cuentas de AWS administradas mediante AWS Organizations, consulte Set up Cuenta de AWS access for an IAM Identity Center administrative user.
Con el usuario administrativo podrá crear identidades adicionales para los usuarios que necesiten acceder a los recursos de la Cuenta de AWS. Se recomienda encarecidamente exigir que los usuarios se autentiquen con credenciales temporales al acceder a AWS.
-
En el caso de una Cuenta de AWS única e independiente, utilice Roles de IAM para crear identidades en la cuenta con permisos específicos. Los roles están pensados para que los pueda asumir cualquier persona que los necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, tales como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. A diferencia de los roles de IAM, los Usuarios de IAM tienen credenciales a largo plazo, tales como contraseñas y claves de acceso. Siempre que sea posible, las prácticas recomendadas sugieren emplear credenciales temporales, en lugar de crear usuarios de IAM con credenciales a largo plazo como contraseñas y claves de acceso.
-
En el caso de varias Cuentas de AWS administradas mediante Organizations, utilice usuarios de personal de IAM Identity Center. Con IAM Identity Center, puede administrar de manera centralizada los usuarios de sus Cuentas de AWS y los permisos de esas cuentas. Administre las identidades de los usuarios con IAM Identity Center o desde un proveedor de identidades externo. Para obtener más información, consulte ¿Qué es AWS IAM Identity Center? en la Guía del usuario de AWS IAM Identity Center.
Temas
- Proteja las credenciales de usuario raíz para evitar el uso no autorizado
- Utilizar una contraseña de usuario raíz segura para ayudar a proteger el acceso
- Proteja el inicio de sesión del usuario raíz con autenticación multifactor (MFA)
- No crear claves de acceso para el usuario raíz
- Utilice la aprobación de varias personas para el inicio de sesión del usuario raíz siempre que sea posible
- Utilice una dirección de correo de un grupo para las credenciales de usuario raíz
- Limite el acceso a los mecanismos de recuperación de cuentas
- Proteja las credenciales de usuario raíz de su cuenta de Organizations
- Supervise el acceso y el uso
Proteja las credenciales de usuario raíz para evitar el uso no autorizado
Proteja las credenciales de usuario raíz y utilícelas solo para las tareas que las requieren. Para evitar el uso no autorizado, no comparta la contraseña de usuario raíz, la MFA, las claves de acceso, los pares de claves de CloudFront ni los certificados de firma con nadie, excepto con aquellas personas que tengan una necesidad estrictamente empresarial de acceder al usuario raíz.
No guarde la contraseña de usuario raíz con herramientas que dependan de Servicios de AWS en una cuenta a la que se acceda con la misma contraseña. Si pierde u olvida la contraseña de usuario raíz, no podrá acceder a estas herramientas. Se recomienda que priorice la resiliencia y considere la posibilidad de solicitar que dos o más personas autoricen el acceso a la ubicación de almacenamiento. Se debe registrar y supervisar el acceso a la contraseña o a su ubicación de almacenamiento.
Utilizar una contraseña de usuario raíz segura para ayudar a proteger el acceso
Se recomienda utilizar una contraseña segura y única. Herramientas como los administradores de contraseñas con algoritmos de generación de contraseñas seguras pueden ayudar a lograr estos objetivos. AWS requiere que la contraseña cumpla las siguientes condiciones:
-
Debe tener 8 caracteres como mínimo y 128 como máximo.
-
Debe incluir, como mínimo, tres de estos tipos de caracteres combinados: mayúsculas, minúsculas, números y símbolos ! @ # $ % ^ & * () <> [] {} | _+-=.
-
No debe ser idéntica al nombre de la Cuenta de AWS ni a la dirección de correo electrónico.
Para obtener más información, consulte Cambiar la contraseña para Usuario raíz de la cuenta de AWS.
Proteja el inicio de sesión del usuario raíz con autenticación multifactor (MFA)
Dado que un usuario raíz puede realizar acciones privilegiadas, es fundamental agregar MFA para el usuario raíz como segundo factor de autenticación, además de la dirección de correo electrónico y la contraseña como credenciales de inicio de sesión. Se recomienda encarecidamente habilitar varias MFA para las credenciales de usuario raíz, con el fin de dotar de flexibilidad y resiliencia adicionales a su estrategia de seguridad. Puede registrar hasta ocho dispositivos MFA de cualquier combinación de los tipos de MFA admitidos actualmente con el usuario raíz de la Cuenta de AWS.
-
Las claves de seguridad de hardware certificadas por FIDO las proporcionan proveedores externos. Para obtener más información, consulte Habilitación de una clave de seguridad FIDO para el usuario raíz de la Cuenta de AWS.
-
Dispositivo de hardware que genera un código numérico de seis dígitos basado en el algoritmo de contraseña temporal de un solo uso (TOTP). Para obtener más información, consulte Habilitación de un token TOTP de hardware para el usuario raíz de la Cuenta de AWS.
-
Aplicación de autenticador virtual que se ejecuta en un teléfono u otro dispositivo y emula un dispositivo físico. Para obtener más información, consulte Habilitación de un dispositivo MFA virtual para su usuario raíz de la Cuenta de AWS.
No crear claves de acceso para el usuario raíz
Las claves de acceso permiten ejecutar comandos en la interfaz de línea de comandos de AWS (AWS CLI) o utilizar operaciones de la API de alguno de los AWS SDK. Se recomienda encarecidamente que no cree pares de claves de acceso para el usuario raíz, ya que el usuario raíz tiene acceso total a todos los Servicios de AWS y recursos de la cuenta, incluida la información de facturación.
Dado que el usuario raíz solo es necesario en pocas tareas y, por lo general, esas tareas se realizan con poca frecuencia, se recomienda iniciar sesión en la AWS Management Console para realizar las tareas del usuario raíz. Antes de crear claves de acceso, revise las alternativas a las claves de acceso a largo plazo.
Utilice la aprobación de varias personas para el inicio de sesión del usuario raíz siempre que sea posible
Considere la posibilidad de utilizar la aprobación de varias personas para garantizar que ninguna persona pueda acceder tanto a la MFA como a la contraseña del usuario raíz. Algunas empresas agregan una capa de seguridad adicional configurando un grupo de administradores con acceso a la contraseña y otro grupo de administradores con acceso a la MFA. Un miembro de cada grupo debe dar su visto bueno para iniciar sesión con las credenciales de usuario raíz.
Utilice una dirección de correo de un grupo para las credenciales de usuario raíz
Utilice una dirección de correo electrónico que esté administrada por su empresa y reenvíe los mensajes recibidos directamente a un grupo de usuarios. Si AWS debe contactar con el propietario de la cuenta, este enfoque reduce el riesgo de retrasos en la respuesta, incluso si la persona en cuestión está de vacaciones, se enferma o deja la empresa. La dirección de correo electrónico utilizada para el usuario raíz no debe utilizarse para otros fines.
Limite el acceso a los mecanismos de recuperación de cuentas
Asegúrese de desarrollar un proceso para administrar los mecanismos de recuperación de credenciales de usuario raíz en caso de que necesite acceder en caso de emergencia, como, por ejemplo, una apropiación de su cuenta administrativa.
-
Asegúrese de tener acceso a la bandeja de entrada de correo electrónico del usuario raíz para poder restablecer la contraseña de usuario raíz en caso de pérdida u olvido.
-
Si la MFA del usuario raíz de la Cuenta de AWS se pierde, se daña o no funciona, puede iniciar sesión con otra MFA registrada con las mismas credenciales de usuario raíz. Si pierde el acceso a todas sus MFA, necesitará que tanto el número de teléfono como el correo electrónico que utilizó para registrar su cuenta estén actualizados y sean accesibles para recuperar la MFA. Para obtener más información, consulte Recuperación de un dispositivo MFA de usuario raíz.
-
Si decide no almacenar la contraseña de usuario raíz y la MFA, se puede utilizar el número de teléfono registrado en su cuenta como forma alternativa de recuperar las credenciales de usuario raíz. Asegúrese de tener acceso al número de teléfono de contacto, mantenga ese número de teléfono actualizado y limite quién tiene acceso para administrarlo.
Ninguna persona debe tener acceso tanto a la bandeja de entrada de correo electrónico como al número de teléfono, ya que ambas cosas son canales de verificación para recuperar la contraseña de usuario raíz. Es importante contar con dos grupos de personas encargadas de administrar estos canales. Un grupo que tenga acceso a la dirección de correo electrónico principal y otro grupo que tenga acceso al número de teléfono principal para recuperar el acceso a la cuenta como usuario raíz.
Proteja las credenciales de usuario raíz de su cuenta de Organizations
Al pasar a una estrategia de múltiples cuentas con Organizations, cada una de esas Cuentas de AWS tiene sus propias credenciales de usuario raíz que se deben proteger. La cuenta que se utiliza para crear la organización es la cuenta de administración, y el resto de cuentas de la organización son cuentas miembro.
Proteja las credenciales de usuario raíz de las cuentas miembro
Si utiliza Organizations para administrar varias cuentas, existen dos estrategias que puede adoptar para proteger el acceso del usuario raíz en Organizations.
-
Centralice el acceso raíz y elimine las credenciales de usuario raíz de las cuentas de miembros. Puede eliminar la contraseña del usuario raíz, las claves de acceso y los certificados de firma, así como desactivar y eliminar la autenticación multifactor (MFA). Las cuentas de miembros no pueden iniciar sesión con su usuario raíz ni recuperar la contraseña de su usuario raíz. Para obtener más información, consulte Administre de forma centralizada el acceso raíz a las cuentas de miembros.
-
Proteja las credenciales de usuario raíz de las cuentas de Organizaciones con MFA.
Para obtener más información, consulte Acceso a las cuentas miembro de la organización en la Guía del usuario de Organizations.
Establezca controles de seguridad preventivos en Organizations mediante una política de control de servicio (SCP)
Si las cuentas de miembro de la organización tienen habilitadas las credenciales de usuario raíz, puede aplicar una SCP para restringir el acceso al usuario raíz de las cuentas de miembro. Impedir todas las acciones relacionadas con el usuario raíz en las cuentas miembro, excepto algunas acciones específicas que lo necesitan, ayuda a evitar el acceso no autorizado. Para obtener más información, consulte Utilice una SCP para restringir lo que puede hacer el usuario raíz en sus cuentas de miembro
Supervise el acceso y el uso
Se recomienda que utilice sus mecanismos de seguimiento actuales para supervisar, alertar e informar sobre el inicio de sesión y el uso de credenciales de usuario raíz, incluyendo alertas que anuncien el inicio de sesión y el uso del usuario raíz. Los siguientes servicios pueden ayudar a garantizar el seguimiento del uso de las credenciales de usuario raíz, así como a realizar controles de seguridad que pueden ayudar a evitar el uso no autorizado.
nota
CloudTrail registra diferentes eventos de inicio de sesión para las sesiones del usuario raíz y del usuario raíz con privilegios. Estas sesiones con privilegios permiten realizar tareas que requieren credenciales de usuario raíz en las cuentas de miembro de su organización. Puede utilizar el evento de inicio de sesión para identificar las acciones realizadas por la cuenta de administración o por un administrador delegado con sts:AssumeRoot
. Para obtener más información, consulte Realice un seguimiento de las tareas con privilegios en CloudTrail.
-
Si desea recibir notificaciones sobre actividad de inicio de sesión del usuario raíz en su cuenta, puede servirse de Amazon CloudWatch para crear una regla de Eventos que detecte cuándo se utilizan las credenciales de usuario raíz y active una notificación al administrador de seguridad. Para obtener más información, consulte Monitor and notify on Cuenta de AWS root user activity
. -
Si desea configurar notificaciones que le avisen de acciones aprobadas para el usuario raíz, puede servirse de Amazon EventBridge junto con Amazon SNS para escribir una regla de EventBridge que realice un seguimiento del uso del usuario raíz para la acción en cuestión y le notifique mediante un tema de Amazon SNS. Para ver un ejemplo, consulte Send a notification when an Amazon S3 object is created.
-
Si ya utiliza GuardDuty como servicio de detección de amenazas, puede ampliar su capacidad para que le notifique cuando se utilicen credenciales de usuario raíz en su cuenta.
Las alertas deben incluir, entre otras cosas, la dirección de correo electrónico del usuario raíz. Establezca procedimientos sobre cómo responder a las alertas para que el personal que reciba una alerta de acceso de usuario raíz sepa cómo comprobar si se espera el acceso de usuario raíz y cómo escalar la cuestión si piensa que se está produciendo un incidente de seguridad. Para ver un ejemplo sobre cómo configurar las alertas, consulte Monitor and notify on Cuenta de AWS root user activity
Evalúe la conformidad con la MFA del usuario raíz
Los siguientes servicios pueden ayudar a evaluar el cumplimiento de la MFA para las credenciales de usuario raíz.
Las reglas relacionadas con la MFA se consideran no conformes si se sigue la práctica recomendada de eliminar las credenciales de usuario raíz.
Recomendamos eliminar las credenciales de usuario raíz de las cuentas de miembros para evitar el uso no autorizado. Tras eliminar las credenciales de usuario raíz, incluida la MFA, estas cuentas de miembros se consideran no conformes.
-
AWS Config proporciona reglas para supervisar el cumplimiento de las prácticas recomendadas para el usuario raíz. Puede usar reglas administradas por AWS Config para ayudarlo a aplicar la MFA para las credenciales de usuario raíz. AWS Config también puede identificar las claves de acceso del usuario raíz.
-
Security Hub ofrece una vista integral del estado en cuanto a seguridad en AWS y ayuda a evaluar el entorno de AWS con respecto a prácticas recomendadas y estándares del sector de seguridad, tales como disponer de MFA en el usuario raíz y no tener claves de acceso de usuario raíz. Para obtener más información sobre las reglas disponibles, consulte AWS Identity and Access Management controls en la Guía del usuario de Security Hub.
-
Trusted Advisor proporciona un control de seguridad para saber si la MFA no está activada en la cuenta de usuario raíz. Para obtener más información, consulte MFA on Root Account en la Guía del usuario de AWS Support.
Si necesita comunicar un problema de seguridad en su cuenta, consulte Informar acerca de correos electrónicos sospechosos