Cuenta de gestión de la organización - AWS Guía prescriptiva
Políticas de control de serviciosCentro de identidades de IAMAsesor de acceso de IAMAWS Systems ManagerAWS Control TowerAWS ArtifactBarandillas de servicios de seguridad distribuidas y centralizadas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cuenta de gestión de la organización

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWSSRA) realizando una breve encuesta.

El siguiente diagrama ilustra los servicios de seguridad de AWS que están configurados en la cuenta de administración de la organización.

Servicios de seguridad para la cuenta de administración de la organización

En las secciones Uso de AWS Organizations para la seguridad y La cuenta de administración, el acceso de confianza y los administradores delegados que aparecen anteriormente en esta guía se analizan en profundidad el propósito y los objetivos de seguridad de la cuenta de administración de la organización. Siga las prácticas recomendadas de seguridad para su cuenta de administración de la organización. Estas incluyen usar una dirección de correo electrónico administrada por su empresa, mantener la información de contacto administrativa y de seguridad correcta (como adjuntar un número de teléfono a la cuenta en caso de que AWS necesite ponerse en contacto con el propietario de la cuenta), habilitar la autenticación multifactorial (MFA) para todos los usuarios y revisar periódicamente quién tiene acceso a la cuenta de administración de la organización. Los servicios implementados en la cuenta de administración de la organización deben configurarse con las funciones, políticas de confianza y otros permisos adecuados para que los administradores de esos servicios (que deben acceder a ellos en la cuenta de administración de la organización) tampoco puedan acceder de manera inapropiada a otros servicios.

Políticas de control de servicios

Con AWS Organizations, puede gestionar de forma centralizada las políticas de varias cuentas de AWS. Por ejemplo, puede aplicar políticas de control de servicios (SCP) en varias cuentas de AWS que sean miembros de una organización. Los SCP le permiten definir qué API de servicios de AWS pueden y no pueden ejecutar las entidades de AWS Identity and Access Management (IAM) (como los usuarios y roles de IAM) en las cuentas de AWS de los miembros de su organización. Los SCP se crean y aplican desde la cuenta de administración de la organización, que es la cuenta de AWS que utilizó al crear la organización. Obtenga más información sobre los SCP en la sección Uso de AWS Organizations para la seguridad, que aparece anteriormente en esta referencia. 

Si utiliza AWS Control Tower para administrar su organización de AWS, esta implementará un conjunto de SCP como barreras preventivas (categorizadas como obligatorias, altamente recomendadas u optativas). Estas barreras le ayudan a controlar sus recursos al aplicar controles de seguridad en toda la organización. Estos SCP utilizan automáticamente una aws-control-tower etiqueta que tiene un valor de. managed-by-control-tower 

Consideraciones de diseño

  • Los SCP solo afectan a las cuentas de los miembros de la organización de AWS. Aunque se aplican desde la cuenta de administración de la organización, no afectan a los usuarios ni a las funciones de esa cuenta. Para obtener información sobre cómo funciona la lógica de evaluación de SCP y ver ejemplos de estructuras recomendadas, consulte la entrada del blog de AWS How to Use Service Control Policies in AWS Organizations.

Centro de identidades de IAM

AWS IAM Identity Center (sucesor de AWS Single Sign-On) es un servicio de federación de identidades que le ayuda a gestionar de forma centralizada el acceso SSO a todas sus cuentas, entidades principales y cargas de trabajo en la nube de AWS. El Centro de identidad de IAM también le ayuda a gestionar el acceso y los permisos a las aplicaciones de software como servicio (SaaS) de terceros que se utilizan habitualmente. Los proveedores de identidad se integran con el IAM Identity Center mediante SAML 2.0. El just-in-time aprovisionamiento y el aprovisionamiento masivos se pueden realizar mediante el Sistema de Gestión de Identidad entre Dominios (SCIM). El IAM Identity Center también se puede integrar con dominios de Microsoft Active Directory (AD) locales o administrados por AWS como proveedor de identidad mediante el uso de AWS Directory Service. El IAM Identity Center incluye un portal de usuarios en el que los usuarios finales pueden encontrar y acceder a las cuentas, funciones, aplicaciones en la nube y aplicaciones personalizadas de AWS que se les hayan asignado en un solo lugar.

El IAM Identity Center se integra de forma nativa con AWS Organizations y se ejecuta en la cuenta de administración de la organización de forma predeterminada. Sin embargo, para ejercer el mínimo privilegio y controlar estrictamente el acceso a la cuenta de administración, la administración del IAM Identity Center se puede delegar en una cuenta de miembro específica. En la SRA de AWS, la cuenta de servicios compartidos es la cuenta de administrador delegado del Centro de identidades de IAM. Antes de habilitar la administración delegada en el Centro de identidades de IAM, revise estas consideraciones. Encontrará más información sobre la delegación en la sección de cuentas de Shared Services. Incluso después de activar la delegación, el Centro de Identidad de IAM seguirá ejecutándose en la cuenta de gestión de la organización para realizar determinadas tareas relacionadas con el Centro de Identidad de IAM, entre las que se incluye la gestión de los conjuntos de permisos que se aprovisionan en la cuenta de gestión de la organización. 

En la consola del IAM Identity Center, las cuentas se muestran por su unidad organizativa encapsulada. Esto le permite descubrir rápidamente sus cuentas de AWS, aplicar conjuntos de permisos comunes y administrar el acceso desde una ubicación central. 

El centro de identidad de IAM incluye un almacén de identidades en el que se debe almacenar información específica del usuario. Sin embargo, el Centro de Identidad de IAM no tiene por qué ser la fuente autorizada de información sobre la fuerza laboral. En los casos en los que su empresa ya cuente con una fuente autorizada, el Centro de Identidad de IAM admite los siguientes tipos de proveedores de identidad (). IdPs

  • Almacén de identidades de IAM Identity Center: elija esta opción si las dos opciones siguientes no están disponibles. Se crean los usuarios, se realizan las asignaciones de grupos y se asignan los permisos en el almacén de identidades. Incluso si la fuente autorizada es externa al Centro de identidades de IAM, se almacenará una copia de los atributos principales en el almacén de identidades.

  • Microsoft Active Directory (AD): elija esta opción si desea seguir administrando los usuarios en su directorio de AWS Directory Service para Microsoft Active Directory o en su directorio autogestionado de Active Directory.

  • Proveedor de identidad externo: elija esta opción si prefiere administrar los usuarios en un IdP externo de terceros basado en SAML.

Puede confiar en un IdP existente que ya existe en su empresa. Esto facilita la administración del acceso a múltiples aplicaciones y servicios, ya que se crea, administra y revoca el acceso desde una única ubicación. Por ejemplo, si alguien deja tu equipo, puedes revocar su acceso a todas las aplicaciones y servicios (incluidas las cuentas de AWS) desde un solo lugar. Esto reduce la necesidad de tener varias credenciales y le brinda la oportunidad de integrarse en sus procesos de recursos humanos (RRHH).

Consideraciones de diseño

  • Utilice un IdP externo si esa opción está disponible para su empresa. Si su IdP es compatible con el Sistema de gestión de identidades entre dominios (SCIM), aproveche la capacidad SCIM del IAM Identity Center para automatizar el aprovisionamiento (sincronización) de usuarios, grupos y permisos. Esto permite que el acceso a AWS se mantenga sincronizado con el flujo de trabajo corporativo para los nuevos empleados, los empleados que se mudan a otro equipo y los empleados que se van de la empresa. En un momento dado, solo puede tener un directorio o un proveedor de identidades de SAML 2.0 conectado al Centro de identidades de IAM. Sin embargo, puede cambiar a otro proveedor de identidad.

Asesor de acceso de IAM

El asesor de acceso de IAM proporciona datos de trazabilidad en forma de información sobre el último servicio al que se accedió para sus cuentas y unidades organizativas de AWS. Utilice este control detectivesco para contribuir a una estrategia de privilegios mínimos. En el caso de las entidades de IAM, puede ver dos tipos de información a la que se accedió por última vez: información sobre los servicios de AWS permitidos e información sobre las acciones permitidas. Esta información incluye la fecha y la hora en que se realizó el intento. 

El acceso a IAM dentro de la cuenta de administración de la organización le permite ver los datos del servicio al que se accedió por última vez para la cuenta de administración de la organización, la unidad organizativa, la cuenta de miembro o la política de IAM de su organización de AWS. Esta información está disponible en la consola de IAM de la cuenta de administración y también se puede obtener mediante programación mediante las API de los asesores de acceso de IAM en la interfaz de línea de comandos de AWS (AWS CLI) o en un cliente programático. Se indica qué entidades principales de una organización o cuenta intentaron acceder por última vez al servicio y cuándo lo hicieron. La información a la que se accedió por última vez proporciona información sobre el uso real del servicio (consulte los escenarios de ejemplo), de modo que puede reducir los permisos de IAM únicamente a los servicios que realmente se utilizan.

AWS Systems Manager

Tanto Quick Setup como Explorer, que son capacidades de AWS Systems Manager, son compatibles con AWS Organizations y funcionan desde la cuenta de administración de la organización. 

La configuración rápida es una función de automatización de Systems Manager. Permite a la cuenta de administración de la organización definir fácilmente las configuraciones para que Systems Manager interactúe en su nombre en todas las cuentas de su organización de AWS. Puede habilitar la configuración rápida en toda su organización de AWS o elegir unidades organizativas específicas. Quick Setup puede programar el AWS Systems Manager Agent (SSM Agent) para que ejecute actualizaciones quincenales en sus instancias de EC2 y puede configurar un análisis diario de esas instancias para identificar los parches que faltan. 

Explorer es un panel de operaciones personalizable que proporciona información sobre los recursos de AWS. Explorer muestra una vista agregada de los datos de operaciones de sus cuentas de AWS y de todas las regiones de AWS. Esto incluye datos sobre sus instancias de EC2 y detalles de conformidad con los parches. Tras completar la configuración integrada (que también incluye Systems Manager OpsCenter) en AWS Organizations, puede agregar datos en Explorer por unidad organizativa o para toda la organización de AWS. Systems Manager agrega los datos a la cuenta de AWS Org Management antes de mostrarlos en Explorer.

En la sección Workloads OU, que aparece más adelante en esta guía, se analiza el uso del agente Systems Manager (agente SSM) en las instancias EC2 de la cuenta de aplicación.

AWS Control Tower

AWS Control Tower proporciona una forma sencilla de configurar y gestionar un entorno de AWS seguro y con múltiples cuentas, que se denomina landing zone. AWS Control Tower crea su landing zone mediante AWS Organizations y proporciona una gestión y un gobierno continuos de las cuentas, así como prácticas recomendadas de implementación. Puede usar AWS Control Tower para aprovisionar nuevas cuentas en unos pocos pasos y, al mismo tiempo, asegurarse de que las cuentas se ajusten a las políticas de su organización. Incluso puede añadir cuentas existentes a un nuevo entorno de AWS Control Tower. 

AWS Control Tower cuenta con un conjunto amplio y flexible de funciones. Una característica clave es su capacidad para organizar las capacidades de varios otros servicios de AWS, incluidos AWS Organizations, AWS Service Catalog e IAM Identity Center, para crear una landing zone. Por ejemplo, de forma predeterminada, AWS Control Tower usa AWS CloudFormation para establecer una línea base, las políticas de control de servicios (SCP) de AWS Organizations para evitar cambios de configuración y las reglas de AWS Config para detectar continuamente las no conformidades. AWS Control Tower emplea planos que le ayudan a alinear rápidamente su entorno de AWS multicuenta con los principios de diseño básicos de seguridad de AWS Well Architected. Entre las características de gobierno, la Torre de Control de AWS ofrece barreras que impiden el despliegue de recursos que no se ajusten a las políticas seleccionadas. 

Puede empezar a implementar las directrices sobre la SRA de AWS con AWS Control Tower. Por ejemplo, AWS Control Tower establece una organización de AWS con la arquitectura de cuentas múltiples recomendada. Proporciona planos para gestionar la identidad, proporcionar acceso federado a las cuentas, centralizar el registro, establecer auditorías de seguridad entre cuentas, definir un flujo de trabajo para el aprovisionamiento de nuevas cuentas e implementar líneas de base de cuentas con configuraciones de red. 

En la SRA de AWS, la Torre de Control de AWS se encuentra dentro de la cuenta de administración de la organización porque AWS Control Tower usa esta cuenta para configurar una organización de AWS automáticamente y designa esa cuenta como cuenta de administración. Esta cuenta se utiliza para facturar en toda su organización de AWS. También se usa para el aprovisionamiento de cuentas en Account Factory, para administrar unidades organizativas y para administrar barandas. Si va a lanzar AWS Control Tower en una organización de AWS existente, puede usar la cuenta de administración existente. AWS Control Tower utilizará esa cuenta como cuenta de administración designada.

Consideraciones de diseño

  • Si desea establecer una base de referencia adicional de los controles y las configuraciones de sus cuentas, puede usar Customizations for AWS Control Tower (cFCT). Con cFCT, puede personalizar la zona de aterrizaje de la Torre de Control de AWS mediante una CloudFormation plantilla de AWS y políticas de control de servicios (SCP). Puede implementar la plantilla y las políticas personalizadas en cuentas y unidades organizativas individuales de su organización. cFCT se integra con los eventos del ciclo de vida de AWS Control Tower para garantizar que las implementaciones de recursos estén sincronizadas con su landing zone. 

AWS Artifact

AWS Artifact proporciona acceso bajo demanda a los informes de seguridad y conformidad de AWS y a determinados acuerdos en línea. Los informes disponibles en AWS Artifact incluyen informes de controles de sistemas y organizaciones (SOC), informes del sector de tarjetas de pago (PCI) y certificaciones de organismos de acreditación de distintas geografías y mercados verticales de conformidad que validan la implementación y la eficacia operativa de los controles de seguridad de AWS. AWS Artifact le ayuda a realizar las diligencias debidas con respecto a AWS con una mayor transparencia en nuestro entorno de control de seguridad. También le permite supervisar de forma continua la seguridad y el cumplimiento de AWS con acceso inmediato a nuevos informes. 

Los acuerdos de AWS Artifact le permiten revisar, aceptar y realizar un seguimiento del estado de los acuerdos de AWS, como el anexo de asociación empresarial (BAA), para una cuenta individual y para las cuentas que forman parte de su organización en AWS Organizations. 

Puede proporcionar los artefactos de auditoría de AWS a sus auditores o reguladores como prueba de los controles de seguridad de AWS. También puede utilizar la guía de responsabilidad proporcionada por algunos de los dispositivos de auditoría de AWS para diseñar su arquitectura de nube. Esta guía ayuda a determinar los controles de seguridad adicionales que puede implementar para respaldar los casos de uso específicos de su sistema. 

AWS Artifacts se aloja en la cuenta de administración de la organización para proporcionar una ubicación central en la que puede revisar, aceptar y gestionar los acuerdos con AWS. Esto se debe a que los acuerdos que se aceptan en la cuenta de administración se transfieren a las cuentas de los miembros. 

Consideraciones de diseño

  • Los usuarios de la cuenta de administración de la organización deben estar restringidos a usar únicamente la función Acuerdos de AWS Artifact y nada más. Para implementar la segregación de funciones, AWS Artifact también se aloja en la cuenta Security Tooling, donde puede delegar permisos a las partes interesadas en el cumplimiento y a los auditores externos para acceder a los artefactos de auditoría. Puede implementar esta separación definiendo políticas de permisos de IAM detalladas. Para ver ejemplos, consulte Ejemplos de políticas de IAM en la documentación de AWS.

Barandillas de servicios de seguridad distribuidas y centralizadas

En AWS SRA, AWS Security Hub, Amazon GuardDuty, AWS Config, IAM Access Analyzer, AWS CloudTrail Organization Trails y, a menudo, Amazon Macie se implementan con la administración delegada adecuada o la agregación a la cuenta de Security Tooling. Esto permite un conjunto uniforme de barreras en todas las cuentas y también proporciona supervisión, administración y gobierno centralizados en toda la organización de AWS. Encontrará este grupo de servicios en todos los tipos de cuentas representadas en la SRA de AWS. Deben formar parte de los servicios de AWS que se deben aprovisionar como parte del proceso de incorporación y referencia de su cuenta. El repositorio GitHub de código proporciona un ejemplo de implementación de los servicios de AWS centrados en la seguridad en todas sus cuentas, incluida la cuenta de AWS Org Management. 

Además de estos servicios, AWS SRA incluye dos servicios centrados en la seguridad, Amazon Detective y AWS Audit Manager, que respaldan la integración y la funcionalidad de administrador delegado en AWS Organizations. Sin embargo, no se incluyen como parte de los servicios recomendados para la creación de una cuenta de referencia. Hemos visto que estos servicios se utilizan mejor en los siguientes escenarios:

  • Cuenta con un equipo o grupo de recursos dedicados que realizan esas funciones de análisis forense digital y auditoría de TI. Los equipos de analistas de seguridad utilizan mejor Amazon Detective, y AWS Audit Manager es útil para sus equipos de auditoría interna o conformidad.

  • Desea centrarse en un conjunto básico de herramientas, como GuardDuty un Security Hub, al principio del proyecto y, después, desarrollarlas mediante el uso de servicios que proporcionan capacidades adicionales.