Infrastructure OU: cuenta de servicios compartidos - AWS Guía prescriptiva
AWS Systems ManagerAWS Managed Microsoft ADIAMCentro de identidad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Infrastructure OU: cuenta de servicios compartidos

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

El siguiente diagrama ilustra los servicios AWS de seguridad que están configurados en la cuenta de Shared Services.

Servicios de seguridad para la cuenta de Shared Services

La cuenta de servicios compartidos forma parte de la OU de infraestructura y su propósito es respaldar los servicios que utilizan varias aplicaciones y equipos para ofrecer sus resultados. Por ejemplo, los servicios de directorio (Active Directory), los servicios de mensajería y los servicios de metadatos pertenecen a esta categoría. Entre ellos se AWS SRA destacan los servicios compartidos que admiten los controles de seguridad. Si bien las cuentas de red también forman parte de la unidad organizativa de infraestructura, se eliminan de la cuenta de servicios compartidos para facilitar la separación de funciones. Los equipos que administrarán estos servicios no necesitan permisos ni acceso a las cuentas de la red.

AWS Systems Manager

AWSSystems Manager (que también se incluye en la cuenta de administración de la organización y en la cuenta de aplicación) proporciona un conjunto de capacidades que permiten la visibilidad y el control de sus AWS recursos. Una de estas capacidades, Systems Manager Explorer, es un panel de operaciones personalizable que proporciona información sobre sus AWS recursos. Puede sincronizar los datos de operaciones en todas las cuentas de su AWS organización mediante AWS Organizations and Systems Manager Explorer. Systems Manager se implementa en la cuenta de Shared Services a través de la funcionalidad de administrador delegado de AWS Organizations.

Systems Manager le ayuda a mantener la seguridad y el cumplimiento mediante el análisis de las instancias gestionadas y la notificación (o la adopción de medidas correctivas) sobre cualquier infracción de las políticas que detecte. Al combinar Systems Manager con la implementación adecuada en AWS las cuentas de los miembros individuales (por ejemplo, la cuenta de aplicación), puede coordinar la recopilación de datos de inventario de instancias y centralizar la automatización, como la aplicación de parches y las actualizaciones de seguridad.

AWS Managed Microsoft AD

AWSDirectory Service for Microsoft Active Directory, también conocido como Microsoft AD AWS administrado, permite que sus cargas de trabajo y AWS recursos compatibles con directorios utilicen Active Directory administrado en él. AWS Puede utilizar AWS Managed Microsoft AD para unir instancias de Amazon EC2 for Windows Server, Amazon EC2 for Linux y Amazon RDS for SQL Server a su dominio, y utilizar servicios de informática de usuario AWS final (EUC), como Amazon WorkSpaces, con usuarios y grupos de Active Directory. 

AWSMicrosoft AD administrado le ayuda a ampliar su Active Directory actual AWS y a utilizar sus credenciales de usuario locales existentes para acceder a los recursos de la nube. También puede administrar sus usuarios, grupos, aplicaciones y sistemas locales sin la complejidad de ejecutar y mantener un Active Directory local de alta disponibilidad. Puede unir sus equipos, portátiles e impresoras existentes a un dominio de Microsoft AD AWS administrado. 

AWSEl Microsoft AD administrado se basa en Microsoft Active Directory y no requiere que sincronice o replique los datos de su Active Directory existente en la nube. Puede utilizar herramientas y funciones de administración de Active Directory que ya conoce, como los objetos de política de grupo (GPOs), las confianzas de dominio, las políticas de contraseñas detalladas, las cuentas de servicios gestionados grupales (gMSAs), las extensiones de esquema y el inicio de sesión único basado en Kerberos. También puede delegar tareas administrativas y autorizar el acceso mediante grupos de seguridad de Active Directory. 

La replicación multirregional le permite implementar y usar un único directorio AWS administrado de Microsoft AD en varias AWS regiones. Esto hace que sea más fácil y rentable implementar y administrar sus cargas de trabajo de Microsoft Windows y Linux en todo el mundo. Cuando utiliza la capacidad de replicación multirregional automatizada, obtiene una mayor resiliencia, mientras que sus aplicaciones utilizan un directorio local para lograr un rendimiento óptimo. 

AWSMicrosoft AD administrado admite el Protocolo ligero de acceso a directorios (LDAP) sobreSSL/TLS, también conocido comoLDAPS, tanto en funciones de cliente como de servidor. Cuando actúa como servidor, AWS Managed Microsoft AD admite LDAPS más de los puertos 636 (SSL) y 389 (TLS). Para habilitar LDAPS las comunicaciones del lado del servidor, instale un certificado en los controladores de dominio de AWS Microsoft AD administrados desde una entidad de certificación (CA) AWS basada en Active Directory Certificate Services (AD CS). Cuando actúa como cliente, AWS Managed Microsoft AD admite LDAPS más de los puertos 636 (SSL). Puede habilitar LDAPS las comunicaciones del lado del cliente registrando los certificados de CA de los emisores de certificados de su servidor yAWS, a continuación, LDAPS habilitándolos en su directorio.  

En el AWSSRA, AWS Directory Service se usa dentro de la cuenta de Shared Services para proporcionar servicios de dominio para cargas de trabajo compatibles con Microsoft en varias AWS cuentas de miembros. 

Consideración del diseño

  • Puede conceder a los usuarios de Active Directory locales acceso para iniciar sesión en la consola de AWS administración y la interfaz de línea de AWS comandos (AWSCLI) con sus credenciales de Active Directory existentes mediante IAM Identity Center y seleccionando Microsoft AD AWS administrado como fuente de identidad. Esto permite a los usuarios asumir una de las funciones que se les han asignado al iniciar sesión y acceder a los recursos y tomar medidas al respecto de acuerdo con los permisos definidos para la función. Una opción alternativa es usar AWS Managed Microsoft AD para permitir que los usuarios asuman el rol de AWSIdentity and Access Management (IAM).

IAMCentro de identidad

AWSSRAUtiliza la función de administrador delegado compatible con IAM Identity Center para delegar la mayor parte de la administración de IAM Identity Center a la cuenta de Shared Services. Esto ayuda a restringir la cantidad de usuarios que necesitan acceder a la cuenta de administración de la organización. IAMAún es necesario que Identity Center esté habilitado en la cuenta de administración de la organización para realizar determinadas tareas, incluida la administración de los conjuntos de permisos que se proporcionan en la cuenta de administración de la organización.

La razón principal para usar la cuenta de Shared Services como administrador delegado de IAM Identity Center es la ubicación de Active Directory. Si planea usar Active Directory como fuente de IAM identidad de Identity Center, necesitará ubicar el directorio en la cuenta de miembro que designó como cuenta de administrador delegado de IAM Identity Center. En la AWSSRA, la cuenta de Shared Services aloja Microsoft AD AWS administrado, de modo que esa cuenta pasa a ser la administradora delegada de IAM Identity Center. 

IAMIdentity Center admite el registro de una cuenta de un solo miembro como administrador delegado al mismo tiempo. Puede registrar una cuenta de miembro solo si inicia sesión con las credenciales de la cuenta de administración. Para habilitar la delegación, debe tener en cuenta los requisitos previos que figuran en la documentación del Centro de IAM Identidad. La cuenta de administrador delegado puede realizar la mayoría de las tareas de administración de IAM Identity Center, pero con algunas restricciones, que se indican en la documentación de IAMIdentity Center. El acceso a la cuenta de administrador delegado de IAM Identity Center debe estar estrictamente controlado. 

Consideraciones sobre el diseño

  • Si decide cambiar la fuente de IAM identidad de Identity Center de cualquier otra fuente a Active Directory, o cambiarla de Active Directory a cualquier otra fuente, el directorio debe residir en (ser propiedad de) la cuenta del miembro administrador delegado de IAM Identity Center, si existe; de lo contrario, debe estar en la cuenta de administración.

  • Puede alojar su Microsoft AD AWS administrado en una cuenta dedicada VPC en otra cuenta y, a continuación, usar AWSResource Access Manager (AWSRAM) para compartir subredes de esta otra cuenta con la cuenta de administrador delegado. De esta forma, la instancia de Microsoft AD AWS gestionada se controla en la cuenta de administrador delegado, pero desde la perspectiva de la red actúa como si estuviera desplegada en la VPC de otra cuenta. Esto resulta útil cuando tiene varias instancias de Microsoft AD AWS administradas y desea implementarlas localmente en el lugar donde se ejecuta su carga de trabajo, pero administrarlas de forma centralizada a través de una cuenta.

  • Si cuenta con un equipo de identidades dedicado que realiza actividades habituales de administración de identidades y accesos o si tiene requisitos de seguridad estrictos para separar las funciones de administración de identidades de otras funciones de servicios compartidos, puede alojar una AWS cuenta dedicada a la administración de identidades. En este escenario, designa esta cuenta como su administrador delegado para IAM Identity Center y también aloja su directorio AWS administrado de Microsoft AD. Puede lograr el mismo nivel de aislamiento lógico entre sus cargas de trabajo de administración de identidades y otras cargas de trabajo de servicios compartidos mediante el uso de IAM permisos específicos dentro de una única cuenta de servicio compartido.

  • IAMActualmente, Identity Center no ofrece soporte para varias regiones. (Para habilitar IAM Identity Center en una región diferente, primero debe eliminar la configuración actual de IAM Identity Center). Además, no admite el uso de diferentes fuentes de identidad para diferentes conjuntos de cuentas ni permite delegar la administración de permisos en diferentes partes de la organización (es decir, varios administradores delegados) o en diferentes grupos de administradores. Si necesita alguna de estas funciones, puede usar la IAMfederación para administrar sus identidades de usuario dentro de un proveedor de identidades (IdP) externo AWS y conceder permiso a estas identidades de usuarios externos para usar AWS los recursos de su cuenta. IAMsoportes IdPs compatibles con OpenID Connect (OIDC) o SAML 2.0. Como práctica recomendada, utilice la federación SAML 2.0 con proveedores de identidad de terceros, como Active Directory Federation Service (AD FS), Okta, Azure Active Directory (Azure AD) o Ping Identity, a fin de ofrecer a los usuarios la capacidad de inicio de sesión único para que puedan iniciar sesión en la consola de AWS administración o realizar llamadas a las operaciones. AWS API Para obtener más información sobre los proveedores de IAM federaciones e identidades, consulte Acerca de la federación SAML basada en 2.0 en la IAM documentación y en los talleres sobre la federación de identidades. AWS