Recursos de IAM - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Recursos de IAM

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

Si bien AWS Identity and Access Management (IAM) no es un servicio que se incluya en un diagrama de arquitectura tradicional, abarca todos los aspectos de la organización de AWS, las cuentas de AWS y los servicios de AWS. No puede implementar ningún servicio de AWS sin crear entidades de IAM y conceder permisos primero. La explicación completa de la IAM va más allá del alcance de este documento, pero en esta sección se proporcionan resúmenes importantes de las recomendaciones de mejores prácticas y sugerencias sobre recursos adicionales.

  • Para conocer las prácticas recomendadas de IAM, consulte las prácticas recomendadas de seguridad en IAM en la documentación de AWS, los artículos de IAM en el blog de seguridad de AWS y las presentaciones de AWS re:Invent.

  • El pilar de seguridad de AWS Well-Architected describe los pasos clave del proceso de administración de permisos: definir las barreras de protección de los permisos, conceder el acceso con privilegios mínimos, analizar el acceso público y multicuenta, compartir los recursos de forma segura, reducir los permisos de forma continua y establecer un proceso de acceso de emergencia.

  • La siguiente tabla y las notas adjuntas ofrecen una descripción general de alto nivel de las directrices recomendadas sobre los tipos de políticas de permisos de IAM disponibles y cómo utilizarlas en su arquitectura de seguridad. Para obtener más información, consulte el vídeo AWS re:Invent 2020 sobre cómo elegir la combinación adecuada de políticas de IAM.

 

Caso de uso o política

Effect

Administrado por

Finalidad

Pertenece a

Afecta

Desplegado en

Políticas de control de servicios (SCPs)

Restrict

Equipo central, como el equipo de plataforma o seguridad [1]

Barandillas, gobernanza

Organización, unidad organizativa, cuenta

Todos los elementos principales de la organización, la unidad organizativa y las cuentas

Cuenta de administración de la organización [2]

Políticas básicas de automatización de cuentas (las funciones de IAM que utiliza la plataforma para gestionar una cuenta)

Otorgar y restringir

Equipo central, como el equipo de plataforma, seguridad o IAM [1]

Permisos para funciones (básicas) ajenas a la automatización de la carga de trabajo [3]

Cuenta única [4]

Principales utilizados por la automatización en una cuenta de miembro

Cuentas de miembros

Políticas humanas básicas (las funciones de IAM que otorgan a los usuarios permisos para realizar su trabajo)

Otorga y restringe

Equipo central, como el equipo de plataforma, seguridad o IAM [1]

Permisos para funciones humanas [5]

Cuenta única [4]

Directores federados [5] y usuarios de IAM [6]

Cuentas de miembros

Límites de permisos (permisos máximos que un desarrollador autorizado puede asignar a otro director)

Restrict

Equipo central, como el equipo de plataforma, seguridad o IAM [1]

Barandillas para las funciones de aplicación (deben estar colocadas)

Cuenta única [4]

Funciones individuales para una aplicación o carga de trabajo en esta cuenta [7]

Cuentas de miembros

Políticas de funciones de máquina para las aplicaciones (función asociada a la infraestructura implementada por los desarrolladores)

Otorgar y restringir

Delegado a los desarrolladores [8]

Permiso para la aplicación o la carga de trabajo [9]

Cuenta única

Un principal de esta cuenta

Cuentas de miembros

Políticas de recursos

Otorgar y restringir

Delegado a los desarrolladores [8,10]

Permisos a los recursos

Cuenta única

El principal de una cuenta [11]

Cuentas de miembros

  

Notas de la tabla:

  1. Las empresas cuentan con muchos equipos centralizados (como los equipos de plataformas en la nube, de operaciones de seguridad o de gestión de identidades y accesos) que dividen las responsabilidades de estos controles independientes y revisan las políticas de los demás por pares. Los ejemplos de la tabla son marcadores de posición. Deberá determinar la separación de funciones más eficaz para su empresa.

  2. Para poder SCPs utilizarlas, debe habilitar todas las funciones de AWS Organizations.

  3. Por lo general, se necesitan funciones y políticas básicas comunes para permitir la automatización, como los permisos para la canalización, las herramientas de implementación, las herramientas de monitoreo (por ejemplo, las reglas de AWS Lambda y AWS Config) y otros permisos. Por lo general, esta configuración se entrega cuando se aprovisiona la cuenta.

  4. Si bien se refieren a un recurso (como un rol o una política) en una sola cuenta, se pueden replicar o implementar en varias cuentas mediante AWS. CloudFormation StackSets

  5. Defina un conjunto básico de políticas y funciones humanas básicas que un equipo central implemente en todas las cuentas de los miembros (por lo general, durante el aprovisionamiento de las cuentas). Algunos ejemplos son los desarrolladores del equipo de plataformas, el equipo de IAM y los equipos de auditoría de seguridad.

  6. Utilice la federación de identidades (en lugar de los usuarios de IAM locales) siempre que sea posible.

  7. Los administradores delegados utilizan los límites de los permisos. Esta política de IAM define los permisos máximos y anula otras políticas (incluidas las “*:*” políticas que permiten realizar todas las acciones en los recursos). Las políticas humanas básicas deberían exigir límites de permisos como condición para crear funciones (como las funciones de desempeño de la carga de trabajo) y adjuntar políticas. Configuraciones adicionales, como SCPs la imposición de adjuntar el límite de permisos.

  8. Esto supone que se han desplegado suficientes barandillas (por ejemplo, SCPs y límites de permisos).

  9. Estas políticas opcionales se pueden implementar durante el aprovisionamiento de la cuenta o como parte del proceso de desarrollo de la aplicación. El permiso para crear y adjuntar estas políticas se regirá por los propios permisos del desarrollador de la aplicación.

  10. Además de los permisos de las cuentas locales, un equipo centralizado (como el equipo de la plataforma en la nube o el equipo de operaciones de seguridad) suele gestionar algunas políticas basadas en los recursos para permitir el acceso entre cuentas para gestionar las cuentas (por ejemplo, para proporcionar acceso a los depósitos de S3 para el registro).

  11. Una política de IAM basada en recursos puede hacer referencia a cualquier responsable de cualquier cuenta para permitir o denegar el acceso a sus recursos. Incluso puede hacer referencia a directores anónimos para permitir el acceso público.

 Garantizar que las identidades de IAM solo tengan los permisos necesarios para un conjunto de tareas bien definido es fundamental para reducir el riesgo de abuso malintencionado o no intencionado de los permisos. Establecer y mantener un modelo de privilegios mínimos requiere un plan deliberado para actualizar, evaluar y mitigar continuamente el exceso de privilegios. Estas son algunas recomendaciones adicionales para ese plan:

  • Utilice el modelo de gobierno de su organización y la propensión al riesgo establecida para establecer barreras y límites de permisos específicos.

  • Implemente los privilegios mínimos mediante un proceso continuo e iterativo. No se trata de un ejercicio de una sola vez.

  • Úselo SCPs para reducir el riesgo procesable. Se pretende que sean barreras amplias, no controles específicos.

  • Utilice los límites de los permisos para delegar la administración de IAM de una manera más segura.

    • Asegúrese de que los administradores delegados adjunten la política de límites de IAM adecuada a los roles y usuarios que creen.

  • Como defense-in-depth enfoque (junto con las políticas basadas en la identidad), utilice políticas de IAM basadas en los recursos para denegar el acceso generalizado a los recursos.

  • Utilice el asesor de acceso de IAM, AWS CloudTrail, AWS IAM Access Analyzer y las herramientas relacionadas para analizar periódicamente el uso histórico y los permisos concedidos. Corrija inmediatamente los excedentes de permisos evidentes.

  • Limite las acciones generales a recursos específicos cuando proceda, en lugar de utilizar un asterisco como comodín para indicar todos los recursos.

  • Implemente un mecanismo para identificar, revisar y aprobar rápidamente las excepciones a las políticas de IAM en función de las solicitudes.