# Guía de auditoría
Este tutorial proporciona instrucciones sobre cómo configurar una auditoría periódica, configurar alarmas, revisar los resultados y mitigar los problemas.
**Topics**
+ [Requisitos previos](#audit-tutorial-prerequisites)
+ [Habilitación de comprobaciones de auditoría](#audit-tutorial-enable-checks)
+ [Visualización de los resultados de auditoría](#audit-tutorial-view-audit)
+ [Creación de acciones de mitigación de auditoría](#audit-tutorial-mitigation)
+ [Aplicación de acciones de mitigación a los resultados de la auditoría](#apply-mitigation-actions)
+ [Creación de un rol de IAM de auditoría de AWS IoT Device Defender (opcional)](#audit-iam)
+ [Habilitación de notificaciones de SNS (opcional)](#audit-tutorial-enable-sns)
+ [Configuración de permisos para las claves administradas por el cliente (opcional)](#audit-tutorial-cmk-permissions)
+ [Habilitación del registro (opcional)](#enable-logging)
## Requisitos previos
Necesitará lo siguiente para completar este tutorial:
+ Un Cuenta de AWS. Si no tiene una, consulte [Configuración](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html).
## Habilitación de comprobaciones de auditoría
En el siguiente procedimiento, habilite las comprobaciones de auditoría que analizan la configuración y las políticas de la cuenta y el dispositivo para garantizar que se apliquen las medidas de seguridad. En este tutorial le indicamos que habilite todas las comprobaciones de auditoría, pero podrá seleccionar las que desee.
Los precios de las auditorías se calculan por número de dispositivos al mes (dispositivos de la flota conectados a AWS IoT). Por lo tanto, agregar o eliminar comprobaciones de auditoría no afectaría a la factura mensual al utilizar esta característica.
1. Abra la [consola de AWS IoT](https://console.aws.amazon.com/iot). En el panel de navegación, elija **Seguridad** e **Intro**.
1. Seleccione **Automatizar auditoría de seguridad de AWS IoT**. Las comprobaciones de auditoría se activan automáticamente.
1. Expanda **Auditoría** y seleccione **Configuración** para ver las comprobaciones de auditoría. Seleccione un nombre de comprobación de auditoría para obtener información sobre lo que hace la comprobación de auditoría. Para obtener más información sobre las comprobaciones de auditoría, consulte [Comprobaciones de auditoría](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html).
1. (Opcional) Si ya tiene un rol que quiere usar, elija **Administrar permisos de servicio**, seleccione el rol en la lista y, a continuación, elija **Actualizar**.
## Visualización de los resultados de auditoría
En el siguiente procedimiento se muestra cómo ver los resultados de auditoría. En este tutorial, verá los resultados de las comprobaciones de auditoría configuradas en el tutorial [Habilitación de comprobaciones de auditoría](#audit-tutorial-enable-checks).
**Para ver los resultados de auditoría**
1. Abra la [consola de AWS IoT](https://console.aws.amazon.com/iot). En el panel de navegación, expanda **Seguridad**, **Auditoría** y, a continuación, seleccione **Resultados**.
1. Seleccione el **nombre** de la programación de auditoría que desee investigar.
1. En **Comprobaciones no compatibles**, en **Mitigación**, seleccione los botones de información para obtener información sobre los motivos por los que no son compatibles. Para obtener información sobre cómo hacer que las comprobaciones no compatibles sí lo sean, consulte [Comprobaciones de auditoría](device-defender-audit-checks.md).
## Creación de acciones de mitigación de auditoría
En el siguiente procedimiento, creará una acción de mitigación de auditoría de AWS IoT Device Defender para habilitar el registro de AWS IoT. Cada comprobación de auditoría ha asignado las acciones de mitigación que afectarán al **tipo de acción** que elija para la comprobación de auditoría que quiera corregir. Para obtener más información, consulte [Acciones de mitigación](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html).
**Para utilizar la consola de AWS IoT para crear acciones de mitigación**
1. Abra la [consola de AWS IoT](https://console.aws.amazon.com/iot). En el panel de navegación, expanda **Seguridad**, **Detectar** y, a continuación, seleccione **Acciones de mitigación**.
1. En la página **Acciones de mitigación**, elija **Crear**.
1. En la página **Crear una acción de mitigación**, en **Nombre de la acción**, escriba un nombre único para la acción de mitigación, por ejemplo, *EnableErrorLoggingAction*.
1. En **Tipo de acción**, seleccione **Habilitar registro de AWS IoT**.
1. En **Permisos**, seleccione **Crear rol**. Para el **nombre del rol**, use *IoTMitigationActionErrorLoggingRole*. A continuación, elija **Crear**.
1. En **Parámetros**, en **Rol para el registro**, elija `IoTMitigationActionErrorLoggingRole`. En **Nivel de registro**, elija `Error`.
1. Seleccione **Crear**.
## Aplicación de acciones de mitigación a los resultados de la auditoría
En el siguiente procedimiento se muestra cómo aplicar acciones de mitigación a los resultados de auditoría.
**Para mitigar los resultados de la auditoría no compatibles**
1. Abra la [consola de AWS IoT](https://console.aws.amazon.com/iot). En el panel de navegación, expanda **Seguridad**, **Auditoría** y, a continuación, seleccione **Resultados**.
1. Elija un resultado de auditoría al que quiera responder.
1. Compruebe los resultados.
1. Seleccione **Iniciar las acciones de mitigación**.
1. En **Registro desactivado**, elija la acción de mitigación que creó anteriormente, `EnableErrorLoggingAction`. Puede seleccionar las acciones adecuadas para cada resultado no compatible con el fin de abordar los problemas.
1. En **Seleccionar códigos de motivo**, elija el código de motivo que devolvió la comprobación de auditoría.
1. Seleccione **Iniciar tarea**. La acción de mitigación puede tardar varios minutos en ejecutarse.
**Para comprobar que la acción de mitigación ha funcionado**
1. En el panel de navegación de la consola de AWS IoT, seleccione **Configuración**.
1. En **Registro de servicio**, confirme que el **nivel de registro** es `Error (least verbosity)`.
## Creación de un rol de IAM de auditoría de AWS IoT Device Defender (opcional)
En el siguiente procedimiento, se crea un rol de IAM de auditoría de AWS IoT Device Defender que proporcione acceso de lectura de AWS IoT Device Defender a AWS IoT.
**Para crear un rol de servicio para AWS IoT Device Defender (consola de IAM)**
1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, seleccione **Crear rol**.
1. Elija el tipo de rol **Servicio de AWS**.
1. En **Casos de uso para otros servicios de AWS**, elija **AWS IoT** y, a continuación, elija **Auditoría de IoT - Device Defender**.
1. Elija **Siguiente**.
1. (Opcional) Configure un [límite de permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.
Amplíe la sección **Límite de permisos** y seleccione **Usar un límite de permisos para controlar los permisos máximos de la función**. IAM incluye una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de cada cuenta. Seleccione la política que desea utilizar para el límite de permisos o elija **Crear política** para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) en la *Guía del usuario de IAM*. Una vez creada la política, cierre la pestaña y vuelva a la pestaña original para seleccionar la política que va a utilizar para el límite de permisos.
1. Elija **Siguiente**.
1. Introduzca un nombre de rol que le sea útil para identificar su propósito. Los nombres de rol deben ser únicos en su Cuenta de AWS. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear funciones denominado tanto **PRODROLE** como **prodrole**. Dado que varias entidades pueden hacer referencia al rol, no puede editar el nombre del rol después de crearlo.
1. (Opcional) En **Descripción**, ingrese una descripción para el nuevo rol.
1. Seleccione **Editar** en las secciones **Paso 1: seleccionar entidades de confianza** o **Paso 2: seleccionar permisos** para editar los casos de uso y los permisos del rol.
1. (Opcional) Asocie etiquetas como pares de clave-valor para agregar metadatos al rol. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetado de recursos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía de usuario de IAM* .
1. Revise el rol y, a continuación, seleccione **Crear rol**.
## Habilitación de notificaciones de SNS (opcional)
En el siguiente procedimiento, habilite las notificaciones de Amazon SNS (SNS) para que le avisen cuando sus auditorías identifiquen recursos no compatibles. En este tutorial, configurará las notificaciones para las comprobaciones de auditoría habilitadas en el tutorial [Habilitación de comprobaciones de auditoría](#audit-tutorial-enable-checks).
1. Si aún no lo ha hecho, asocie una política que proporcione acceso a SNS a través de Consola de administración de AWS. **Para ello, siga las instrucciones de [Asociación de una política a un grupo de usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) en la *Guía del usuario de IAM* y seleccione la política AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction**.
1. Abra la [consola de AWS IoT](https://console.aws.amazon.com/iot). En el panel de navegación, expanda **Seguridad**, **Auditoría** y, a continuación, seleccione **Configuración**.
1. En la parte inferior de la página **Configuración de auditoría de Device Defender**, seleccione **Habilitar alertas de SNS**.
1. Elija **Enabled (Habilitado)**.
1. En **Tema**, elija **Crear nuevo tema**. Asigne al tema el nombre *IoTDDNotifications* y elija **Crear**. En **Rol**, elija el rol que creó en [Creación de un rol de IAM de auditoría de AWS IoT Device Defender (opcional)](#audit-iam).
1. Elija **Actualizar**.
1. Si desea recibir correos electrónicos o mensajes de texto en sus plataformas Ops a través de Amazon SNS, consulte [Uso de Amazon SNS para notificaciones de usuario](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html).
## Configuración de permisos para las claves administradas por el cliente (opcional)
**nota**
Esta configuración solo es necesaria si ha optado por las claves administradas por el cliente para AWS IoT Core. Para obtener más información acerca del cifrado en reposo de AWS IoT Core, consulte [Cifrado de datos en reposo en AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html).
Si ha habilitado las claves administradas por el cliente (CMK) para el cifrado de AWS IoT Core en reposo, el rol de IAM que utiliza AWS IoT Device Defender Audit requiere permisos adicionales para descifrar los datos. Sin estos permisos, se producirá un error en las operaciones de auditoría.
La política administrada de [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html) no incluye los permisos de `kms:Decrypt` por diseño, siguiendo el principio del privilegio mínimo. Debe agregar estos permisos manualmente al rol de auditoría cuando se usen claves administradas por el cliente.
**Adición de permisos de KMS al rol de IAM de AWS IoT Device Defender Audit**
1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Roles** y, a continuación, busque el rol que creó en [Creación de un rol de IAM de auditoría de AWS IoT Device Defender (opcional)](#audit-iam) o el rol que especificó al configurar los ajustes de auditoría.
1. Elija el nombre del rol para abrir su página de detalles.
1. En la pestaña **Permisos**, elija **Agregar permisos** y después **Crear política insertada**.
1. Elija la pestaña **JSON** e ingrese la siguiente política. Sustituya *REGION*, *ACCOUNT\$1ID* y *KEY\$1ID* por los detalles clave de AWS KMS:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
}
]
}
```
1. Elija **Siguiente**.
1. En **Nombre de la política**, ingrese un nombre descriptivo, como **DeviceDefenderAuditKMSDecrypt**.
1. Seleccione **Crear política**.
## Habilitación del registro (opcional)
En este procedimiento se describe cómo habilitar AWS IoT para registrar información en los registros de CloudWatch. Esto le permitirá ver los resultados de auditoría. Habilitar el registro puede llevar cargos asociados.
**Para habilitar el registro**
1. Abra la [consola de AWS IoT](https://console.aws.amazon.com/iot). En el panel de navegación, seleccione **Configuración**.
1. En **Registros**, elija **Administrar registros**.
1. En **Seleccionar rol**, elija **Crear rol**. Asigne al rol el nombre *AWSIoTLoggingRole* y elija **Crear**. Se asocia automáticamente una política.
1. En **Nivel de registro**, elija **Depurar (máximo detalle)**.
1. Elija **Actualizar**.