Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Controles de Security Hub para IAM

PDF
RSS
Modo de enfoque
Controles de Security Hub para IAM - AWS Security Hub
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas[IAM.9] La MFA debe estar habilitada para el usuario raíz[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una duración estricta AWS Config[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Soporte[IAM.19] MFA se debe habilitar para todos los usuarios de IAM [IAM.20] Evite el uso del usuario raíz[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse[IAM.24] Los roles de IAM deben etiquetarse[IAM.25] Los usuarios de IAM deben etiquetarse[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess [IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Estos AWS Security Hub controles evalúan el servicio y los recursos AWS Identity and Access Management (IAM).

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15), (7) NIST.800-53.r5 AC-2,, (10) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: alta

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config : iam-policy-no-statements-with-admin-access

Tipo de horario: provocado por un cambio

Parámetros:

  • excludePermissionBoundaryPolicy: true (no personalizable)

Este control comprueba si la versión predeterminada de las políticas de IAM (también conocidas como políticas administradas por el cliente) tiene acceso de administrador con una instrucción que tenga "Effect": "Allow" con "Action": "*" en "Resource": "*". El control falla si tiene políticas de IAM con una declaración de este tipo.

El control solo comprueba las políticas administradas por el cliente que haya creado usted. No comprueba AWS las políticas en línea ni las gestionadas.

Las políticas de IAM definen un conjunto de privilegios concedidos a usuarios, grupos o roles. Siguiendo los consejos de seguridad estándar, se AWS recomienda conceder los privilegios mínimos, es decir, conceder únicamente los permisos necesarios para realizar una tarea. Cuando proporciona privilegios administrativos completos en lugar del conjunto mínimo de permisos que necesita el usuario, expone los recursos a acciones potencialmente no deseadas.

En lugar de concederles privilegios administrativos totales, determine las tareas que tienen que realizar los usuarios y elabore políticas al respecto para permitir a los usuarios realizar solo esas tareas. Es más seguro comenzar con un conjunto mínimo de permisos y conceder permisos adicionales según sea necesario. No comience con permisos demasiado indulgentes para luego restringirlos más adelante.

Debe quitar las políticas de IAM que tienen una instrucción con "Effect": "Allow" y "Action": "*" en "Resource": "*".

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para modificar sus políticas de IAM de manera que no permitan todos los privilegios administrativos “*”, consulte Edición de políticas de IAM en la Guía del usuario de IAM.

[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v3.0.0/1.15, CIS Foundations Benchmark v1.2.0/1.16,, ( AWS 1), (15), (7) NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (3) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : iam-user-no-policies-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control comprueba si sus usuarios de IAM tienen políticas asociadas. El control falla si los usuarios de IAM tienen políticas asociadas. Los usuarios de IAM deben heredar los permisos de los grupos de IAM o asumir un rol.

De forma predeterminada, los usuarios, grupos y roles de IAM no tienen acceso a los recursos. AWS Las políticas de IAM conceden privilegios a los usuarios, grupos o roles. Recomendamos aplicar políticas de IAM directamente a grupos y roles, pero no a los usuarios. La asignación de privilegios en el nivel de grupo o rol reduce la complejidad de la administración del acceso a medida que crece el número de usuarios. A su vez, la reducción de la complejidad de la administración del acceso podría reducir la oportunidad de que una entidad principal reciba o conserve accidentalmente excesivos privilegios.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede deshabilitar este control en todas las regiones salvo en la región en la que haya registrado los recursos globales.

Corrección

Para resolver este problema, cree un grupo de IAM y asocie la política al grupo. Luego, agregue los usuarios al grupo. La política se aplica a cada usuario del grupo. Para eliminar una política asociada directamente a un usuario, consulte Adición y eliminación de permisos de identidad de IAM en la Guía del usuario de IAM.

[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.14, CIS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, NIST.800-53.r5 AC-2 (1), (3), (15), PCI AWS DSS v4.0.1/8.3.9, PCI DSS NIST.800-53.r5 AC-2 v4.0.1/8.6.3 NIST.800-53.r5 AC-3

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : access-keys-rotated

Tipo de programa: Periódico

Parámetros:

  • maxAccessKeyAge: 90 (no personalizable)

Este control comprueba si las claves de acceso activas rotan en un plazo de 90 días.

Le recomendamos encarecidamente que no genere y elimine todas las claves de acceso de la cuenta. En su lugar, la mejor práctica recomendada es crear una o más AWS IAM Identity Center funciones de IAM o utilizar la federación. Puede utilizar estos métodos para permitir que sus usuarios accedan a AWS Management Console y AWS CLI.

Cada enfoque tiene sus casos de uso. La federación es generalmente mejor para las empresas que tienen un directorio o plan central existente y prevén que van a necesitar más que el límite actual de usuarios de IAM. Las aplicaciones que se ejecutan fuera de un AWS entorno necesitan claves de acceso para acceder a AWS los recursos mediante programación.

Sin embargo, si los recursos que necesitan acceso programático se ejecutan internamente AWS, la mejor práctica es utilizar las funciones de IAM. Los roles le permiten conceder acceso a un recurso sin codificar de forma rígida un ID de clave de acceso y una clave de acceso secreta en la configuración.

Para obtener más información sobre cómo proteger las claves de acceso y la cuenta, consulte las prácticas recomendadas para administrar las claves de AWS acceso en el. Referencia general de AWS Consulte también la entrada del blog Pautas para protegerse Cuenta de AWS mientras utiliza el acceso programático.

Si ya tiene una clave de acceso, Security Hub recomienda que rote las claves de acceso cada 90 días. La rotación de las claves de acceso reduce la posibilidad de que se utilice una clave de acceso asociada a una cuenta en peligro o cancelada. También garantiza que no se pueda acceder a los datos con una clave antigua que podría haberse perdido, revelado o robado. Actualice siempre sus aplicaciones después de rotar las claves de acceso.

Las claves de acceso constan de un ID de clave de acceso y de una clave de acceso secreta. Se utilizan para firmar las solicitudes programáticas que realiza a AWS. Los usuarios necesitan sus propias claves de acceso para realizar llamadas programáticas AWS desde las AWS CLI Herramientas para Windows PowerShell o llamadas HTTP directas mediante las operaciones de la API de forma individual. AWS SDKs Servicios de AWS

Si su organización utiliza AWS IAM Identity Center (IAM Identity Center), sus usuarios pueden iniciar sesión en Active Directory, en un directorio integrado del IAM Identity Center o en otro proveedor de identidad (IdP) conectado al IAM Identity Center. A continuación, pueden asignarse a una función de IAM que les permita ejecutar AWS CLI comandos o realizar operaciones de AWS API sin necesidad de claves de acceso. Para obtener más información, consulte Configuración del AWS CLI uso AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para rotar las claves de acceso que tienen más de 90 días de antigüedad, consulte Rotación de las claves de acceso en la Guía del usuario de IAM. Siga las instrucciones para cualquier usuario cuya clave de acceso tenga más de 90 días de antigüedad.

[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 (1), (15), (7), (10), (2) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-root-access-key-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si está presente la clave de acceso del usuario raíz.

El usuario root es el usuario con más privilegios de un. Cuenta de AWS AWS las claves de acceso proporcionan acceso programático a una cuenta determinada.

Security Hub recomienda quitar todas las claves de acceso asociadas al usuario raíz. Esto limita los vectores que se pueden utilizar para comprometer su cuenta. También fomenta la creación y el uso de cuentas basadas en roles, que tienen menos privilegios.

Corrección

Para eliminar la clave de acceso del usuario raíz, consulte Eliminar las claves de acceso del usuario raíz en la Guía del usuario de IAM. Para eliminar las claves de acceso del usuario root de una entrada Cuenta de AWS AWS GovCloud (US), consulte Eliminar las claves de acceso del usuario root de mi AWS GovCloud (US) cuenta en la Guía del AWS GovCloud (US) usuario.

[IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), (8), PCI NIST.800-53.r5 IA-2 DSS NIST.800-53.r5 IA-2 v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : mfa-enabled-for-iam-console-access

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la autenticación AWS multifactor (MFA) está habilitada para todos los usuarios de IAM que utilizan una contraseña de consola.

La autenticación multifactor (MFA) agrega una capa adicional de protección además del nombre de usuario y la contraseña. Con la MFA habilitada, cuando un usuario inicia sesión en un AWS sitio web, se le solicita su nombre de usuario y contraseña. Además, se les solicita un código de autenticación desde su dispositivo AWS MFA.

Recomendamos que habilite la MFA para todas las cuentas que tengan una contraseña de consola. MFA está diseñado para proporcionar una mayor seguridad para acceder a la consola. La entidad de autenticación debe poseer un dispositivo que emita una clave sujeta a limitación temporal y debe tener conocimiento de una credencial.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para agregar MFA a los usuarios de IAM, consulte Uso de la autenticación multifactor (MFA) en AWS en la Guía del usuario de IAM.

Ofrecemos una clave de seguridad MFA gratuita a los clientes que reúnan los requisitos. Compruebe si cumple los requisitos y solicite su clave gratuita.

[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS Foundations Benchmark v1.2.0/1.14, PCI AWS DSS v3.2.1/8.3.1, (1), (15), (1), NIST.800-53.r5 AC-2 (1), (2), (6), (8), NIST.800-53.r5 AC-3 PCI DSS v4.0.1/8.4.2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoría: Proteger - Administración de acceso seguro

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : root-account-hardware-mfa-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si Cuenta de AWS está habilitado para usar un dispositivo de autenticación multifactor (MFA) de hardware para iniciar sesión con credenciales de usuario root. El control falla si la MFA no está habilitada o si se permite que algún dispositivo MFA virtual inicie sesión con credenciales de usuario raíz.

Una aplicación de MFA virtual podría no proporcionar el mismo nivel de seguridad que un dispositivo MFA físico. Recomendamos que utilice un dispositivo MFA virtual mientras espera la aprobación de compra de hardware o mientras espera a que llegue su hardware. Para obtener más información, consulte Habilitación de un dispositivo de autenticación multifactor (MFA) virtual (consola) en la Guía del usuario de IAM.

Tanto la contraseña temporal de un solo uso (TOTP) como los tokens universales de segundo factor (U2F) son viables como opciones de MFA de hardware.

Corrección

Para añadir un dispositivo MFA de hardware para el usuario root, consulte Habilitar un dispositivo MFA de hardware para el usuario Cuenta de AWS root (consola) en la Guía del usuario de IAM.

Ofrecemos una clave de seguridad MFA gratuita a los clientes que reúnan los requisitos. Compruebe si cumple los requisitos y solicite su clave gratuita.

[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

Requisitos relacionados: NIST.800-53.r5 AC-2 (1), (3), NIST.800-53.r5 AC-2 (15), NIST.800-53.r5 AC-3 (1), PCI DSS NIST.800-53.r5 IA-5 v4.0.1/8.3.6, PCI DSS v4.0.1/8.3.7

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

RequireUppercaseCharacters

Requiere que al menos haya un carácter en mayúscula en la contraseña

Booleano

true o false

true

RequireLowercaseCharacters

Requiere que al menos haya un carácter en minúscula en la contraseña

Booleano

true o false

true

RequireSymbols

Requiere que al menos haya un símbolo en la contraseña

Booleano

true o false

true

RequireNumbers

Requiere que al menos haya un número en la contraseña

Booleano

true o false

true

MinimumPasswordLength

Cantidad mínima de caracteres en la contraseña

Entero

De 8 a 128

8

PasswordReusePrevention

Cantidad de rotaciones de contraseñas para poder reutilizar una contraseña anterior

Entero

De 12 a 24

Sin valor predeterminado

MaxPasswordAge

Cantidad de días antes de que la contraseña expire

Entero

De 1 a 90

Sin valor predeterminado

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las siguientes configuraciones seguras. Se producirá un error en el control si la política de contraseñas no utiliza configuraciones seguras. A menos que proporcione valores personalizados de parámetros, Security Hub utiliza los valores predeterminados que se mencionan en la tabla anterior. Los parámetros PasswordReusePrevention y MaxPasswordAge no tienen un valor predeterminado, por lo que, si los excluye, Security Hub ignora la cantidad de rotaciones de contraseñas y la antigüedad de la contraseña al evaluar este control.

Para AWS Management Console acceder a él, los usuarios de IAM necesitan contraseñas. Como práctica recomendada, Security Hub recomienda encarecidamente que, en lugar de crear usuarios de IAM, utilice la federación. La federación permite a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en AWS Management Console. Utilice AWS IAM Identity Center (IAM Identity Center) para crear o federar el usuario y, a continuación, asuma una función de IAM en una cuenta.

Para obtener más información sobre los proveedores de identidad y la federación, consulte Proveedores de identidad y federación en la Guía del usuario de IAM. Para obtener más información sobre IAM Identity Center, consulte la AWS IAM Identity Center Guía del usuario.

Si necesita utilizar usuarios de IAM, Security Hub recomienda que exija la creación de contraseñas de usuario seguras. Puede establecer una política de contraseñas Cuenta de AWS para especificar los requisitos de complejidad y los períodos de rotación obligatorios de las contraseñas. Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Algunos de los ajustes se aplican de forma inmediata.

Corrección

Para actualizar la política de contraseñas, consulte Configuración de una política de contraseñas de la cuenta para usuarios de IAM en la Guía del usuario de IAM.

[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, PCI DSS v4.0.1/8.2.6, CIS AWS Foundations Benchmark v1.2.0/1.3, (1), (3), (15), (7), NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : iam-user-unused-credentials-check

Tipo de programa: Periódico

Parámetros:

  • maxCredentialUsageAge: 90 (no personalizable)

Este control comprueba si los usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado durante 90 días.

Los usuarios de IAM pueden acceder a los recursos mediante distintos tipos de credenciales, como contraseñas o claves de acceso. AWS

Security Hub recomienda que elimine o desactive todas las credenciales que han dejado de utilizarse durante 90 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Al ver la información del usuario en la consola de IAM, hay columnas para la antigüedad de la clave de acceso, la antigüedad de la Contraseña y la Última actividad. Si el valor en cualquiera de estas columnas es superior a 90 días, desactive las credenciales de esos usuarios.

También puede utilizar los informes de credenciales para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 90 días o más. Puede descargar los informes de credenciales en formato .csv desde la consola de IAM.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, desactívalas. Para obtener instrucciones, consulte Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola) en la Guía del usuario de IAM.

[IAM.9] La MFA debe estar habilitada para el usuario raíz

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, CIS Foundations Benchmark v3.0.0/1.5, CIS AWS Foundations Benchmark v1.4.0/1.5, CIS Foundations Benchmark v1.2.0/1.13, ( AWS 1), (15), (1), ( AWS 2), (6), (8) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoría: Proteger - Administración de acceso seguro

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : root-account-mfa-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la autenticación multifactor (MFA) está habilitada para que el usuario raíz de IAM de Cuenta de AWS an inicie sesión en. AWS Management Console El control falla si la MFA no está habilitada para el usuario raíz de la cuenta.

El usuario raíz de IAM de an Cuenta de AWS tiene acceso completo a todos los servicios y recursos de la cuenta. Si la MFA está habilitada, el usuario debe introducir un nombre de usuario, una contraseña y un código de autenticación desde su dispositivo de AWS MFA para poder iniciar sesión en. AWS Management Console La MFA añade una capa adicional de protección además del nombre de usuario y la contraseña.

Este control genera PASSED resultados en los siguientes casos:

  • Las credenciales del usuario raíz están presentes en la cuenta y el MFA está habilitado para el usuario raíz.

  • Las credenciales del usuario raíz no están presentes en la cuenta.

El control genera FAILED resultados si las credenciales del usuario raíz están presentes en la cuenta y el MFA no está habilitado para el usuario raíz.

Corrección

Para obtener información sobre cómo habilitar la MFA para el usuario raíz de un dispositivo Cuenta de AWS, consulte Autenticación multifactorial Usuario raíz de la cuenta de AWS en la Guía del usuario.AWS Identity and Access Management

[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una duración estricta AWS Config

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5, PCI DSS v4.0.1/8.3.6

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la política de contraseñas de cuenta para usuarios de IAM utiliza las siguientes configuraciones mínimas de PCI DSS.

  • RequireUppercaseCharacters: requiere que al menos haya un carácter en mayúscula en la contraseña. (Valor predeterminado = true)

  • RequireLowercaseCharacters: requiere que al menos haya un carácter en minúscula en la contraseña. (Valor predeterminado = true)

  • RequireNumbers: requiere que al menos haya un número en la contraseña. (Valor predeterminado = true)

  • MinimumPasswordLength: longitud mínima de la contraseña. (Predeterminado = 7 o más)

  • PasswordReusePrevention: número de contraseñas antes de que se permita reutilizarlas. (Valor predeterminado = 4)

  • MaxPasswordAge— Número de días antes de que caduque la contraseña. (Valor predeterminado = 90)

Corrección

Para actualizar su política de contraseñas y usar la configuración recomendada, consulte Establecer una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM.

[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.5, PCI DSS v4.0.1/8.3.6

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos una letra mayúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para lograr una Contraseña fuerte, seleccione Se requiere al menos una letra mayúscula del alfabeto latino (A-Z).

[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

Requisitos relacionados: CIS Foundations Benchmark v1.2.0/1.6, PCI DSS v4.0.1/8.3.6 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres. CIS recomienda que la política de contraseñas exija al menos una letra minúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para lograr una Contraseña fuerte, seleccione Se requiere al menos una letra minúscula del alfabeto latino (A-Z).

[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

Requisitos relacionados: CIS Foundations Benchmark v1.2.0/1.7, PCI DSS v4.0.1/8.3.6 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un símbolo. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para la Seguridad de la contraseña, seleccione Requerir al menos un carácter no alfanumérico.

[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

Requisitos relacionados: CIS Foundations Benchmark v1.2.0/1.8, PCI DSS v4.0.1/8.3.6 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas utilicen diferentes conjuntos de caracteres.

CIS recomienda que la política de contraseñas exija al menos un número. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para la Seguridad de la contraseña, seleccione Requerir al menos un número.

[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS Foundations Benchmark v1.2.0/1.9 AWS AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice las políticas de contraseñas de IAM para garantizar que las contraseñas tengan como mínimo una determinada longitud.

CIS recomienda que la política de contraseñas exija al menos una longitud de contraseña de 14 caracteres. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para la Longitud mínima de la contraseña, introduzca 14 o un número mayor.

[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.9, CIS Foundations Benchmark v1.4.0/1.9, CIS Foundations Benchmark v1.2.0/1.10, PCI DSS v4.0.1/8.3.7 AWS AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el número de contraseñas que se deben recordar está establecido en 24. El control falla si el valor no es 24.

Las políticas de contraseñas de IAM pueden evitar la reutilización de una contraseña determinada por el mismo usuario.

CIS recomienda que la política de contraseñas evite la reutilización de contraseñas. Evitar la reutilización de contraseñas de aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para Impedir la reutilización de la contraseña, introduzca 24.

[IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.11, PCI DSS v4.0.1/8.3.9

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas de IAM pueden requerir que las contraseñas se roten o que caduquen al cabo de un determinado número de días.

CIS recomienda que la política de contraseñas haga caducar las contraseñas al cabo de 90 días o menos. La reducción de la vida útil de la contraseña aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta. Exigir cambios regulares de contraseña también es útil en los siguientes casos:

  • Las contraseñas pueden ser robadas o estar en peligro sin que usted lo sepa. Esto puede ocurrir debido a un sistema amenazado, una vulnerabilidad de software o una amenaza interna.

  • Algunos filtros web corporativas y gubernamentales o servidores proxy puede interceptar y registrar el tráfico incluso si está cifrado.

  • Muchas personas utilizan la misma contraseña para muchos sistemas como, por ejemplo, trabajo, correo electrónico y personal.

  • Algunas estaciones de trabajo de usuarios finales en peligro podrían tener un registrador de combinación de teclas.

Corrección

Para cambiar la política de contraseñas, consulte Configurar una política de contraseñas de cuentas para los usuarios de IAM en la Guía del usuario de IAM. Para Activar la caducidad de la contraseña, introduzca 90 o un número menor.

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con Soporte

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20, PCI DSS v4.0.1/12.10.3 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-policy-in-use

Tipo de programa: Periódico

Parámetros:

  • policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (no personalizable)

  • policyUsageType: ANY (no personalizable)

AWS proporciona un centro de soporte que se puede utilizar para la notificación y respuesta a incidentes, así como para el soporte técnico y el servicio de atención al cliente.

Cree un rol de IAM para permitir que los usuarios autorizados administren incidentes con AWS Support. Al implementar los privilegios mínimos para el control de acceso, una función de IAM requerirá una política de IAM adecuada que permita el acceso al centro de soporte con el fin de gestionar los incidentes. Soporte

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para solucionar este problema, cree un rol que permita a los usuarios autorizados administrar incidentes de Soporte .

Para crear el rol que se utilizará para el Soporte acceso

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de IAM, elija Roles y, a continuación, Crear rol.

  3. En Tipo de rol, elija Otro Cuenta de AWS.

  4. En el campo ID de cuenta, introduzca el Cuenta de AWS ID del usuario Cuenta de AWS al que desea conceder acceso a sus recursos.

    Si los usuarios o grupos que asumirán este rol están en la misma cuenta, introduzca el número de cuenta local.

    nota

    El administrador de la cuenta especificada puede conceder permiso para asumir este rol a cualquier usuario de en esa cuenta. Para ello, el administrador asocia una política al usuario o grupo que concede permiso para la acción sts:AssumeRole. En esa política, el recurso debe ser el ARN del rol.

  5. Elija Siguiente: permisos.

  6. Busque la política administrada AWSSupportAccess.

  7. Seleccione la casilla de verificación de la política administrada AWSSupportAccess.

  8. Elija Siguiente: etiquetas.

  9. (Opcional) Para agregar metadatos al rol, asocie etiquetas como pares clave-valor.

    Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de usuarios y roles de IAM en la Guía del usuario de IAM.

  10. Elija Siguiente: Revisar.

  11. Escriba un nombre para el rol en Nombre de rol.

    Los nombres de los roles deben ser únicos dentro de su Cuenta de AWS. No distinguen entre mayúsculas y minúsculas.

  12. (Opcional) En Descripción del rol, introduzca una descripción para el nuevo rol.

  13. Revise el rol y, a continuación, elija Create role (Crear rol).

[IAM.19] MFA se debe habilitar para todos los usuarios de IAM

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, PCI DSS v4.0.1/8.4.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), NIST.800-53.r5 IA-2 (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : iam-user-mfa-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los usuarios de IAM tienen habilitada la autenticación multifactor (MFA).

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para añadir MFA a los usuarios de IAM, consulte Habilitar dispositivos de MFA para los usuarios AWS en la Guía del usuario de IAM.

[IAM.20] Evite el uso del usuario raíz

importante

Security Hub retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.1

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : use-of-root-account-test (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si hay restricciones en cuanto al uso del usuario root. Cuenta de AWS El control evalúa los siguientes recursos:

  • Temas de Amazon Simple Notification Service (Amazon SNS)

  • AWS CloudTrail senderos

  • Filtros métricos asociados a los CloudTrail senderos

  • CloudWatch Alarmas de Amazon basadas en los filtros

Esta comprobación da como resultado FAILED si una o varias de las siguientes afirmaciones son verdaderas:

  • No CloudTrail existe ningún rastro en la cuenta.

  • Una CloudTrail ruta está habilitada, pero no configurada con al menos una ruta multirregional que incluya eventos de administración de lectura y escritura.

  • Una CloudTrail ruta está habilitada, pero no está asociada a un grupo de CloudWatch registros.

  • No se utiliza el filtro métrico exacto prescrito por el Center for Internet Security (CIS). El filtro métrico prescrito es '{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.

  • No existe ninguna CloudWatch alarma basada en el filtro de métricas en la cuenta.

  • CloudWatch las alarmas configuradas para enviar notificaciones al tema de SNS asociado no se activan en función del estado de la alarma.

  • El tema de SNS no cumple con las restricciones para enviar un mensaje a un tema de SNS.

  • El tema de SNS no tiene al menos un suscriptor.

Esta comprobación da como resultado NO_DATA si una o más de las siguientes afirmaciones son verdaderas:

  • Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.

  • Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

Esta comprobación da como resultado WARNING si una o más de las siguientes afirmaciones son verdaderas:

  • La cuenta corriente no es propietaria del tema de SNS al que se hace referencia en la CloudWatch alarma.

  • La cuenta actual no tiene acceso al tema de SNS al invocar la API de SNS de ListSubscriptionsByTopic.

nota

Recomendamos utilizar los registros de la organización para registrar los eventos de varias cuentas de una organización. De forma predeterminada, los registros de la organización son registros multirregionales y solo los puede administrar la cuenta AWS Organizations de administración o la cuenta de CloudTrail administrador delegado. El uso de un registro de la organización da como resultado un estado de control de NO_DATA para los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para realizar tareas de administración de cuentas y servicios. Aplique políticas de IAM directamente a los grupos y roles, pero no a los usuarios. Para ver las instrucciones sobre cómo configurar un administrador para el uso diario, consulte Creación del primer grupo y usuario administrador de IAM en la Guía de usuario de IAM.

Corrección

Los pasos para solucionar este problema incluyen la configuración de un tema de Amazon SNS, CloudTrail una ruta, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un tema de Amazon SNS

  1. Abra la consola Amazon SNS en https://console.aws.amazon.com/sns/ la versión 3/home.

  2. Cree un tema de Amazon SNS que reciba todas las alarmas de CIS.

    Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configure una opción activa CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en [CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura.

Anote el nombre del grupo de CloudWatch registros que asocie a la CloudTrail ruta. Cree el filtro de métricas en el grupo de registro.

Por último, cree el filtro métrico y la alarma.

Para crear un filtro de métricas y alarma

  1. Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, seleccione Grupos de registro.

  3. Seleccione la casilla de verificación del grupo de CloudWatch registros que está asociado a la CloudTrail ruta que ha creado.

  4. En Acciones, elija Crear filtro de métricas.

  5. En Definir patrón, haga lo siguiente:

    1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).

      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

    2. Elija Next (Siguiente).

  6. En Asignar métrica, haga lo siguiente:

    1. En Nombre de filtro, escriba un nombre para el filtro de métricas.

    2. En Espacio de nombres de métrica, escriba LogMetrics.

      Si usa el mismo espacio de nombres para todos los filtros de métricas de registro de CIS, todas las métricas de CIS Benchmark se agrupan.

    3. Para Nombre de métrica, ingrese un nombre para la métrica. Recuerde el nombre de la métrica. Deberá seleccionar la métrica al crear la alarma.

    4. En Metric Value (Valor de métrica), ingrese 1.

    5. Elija Next (Siguiente).

  7. En Revisar y crear, compruebe la información que proporcionó para el nuevo filtro de métricas. A continuación, elija Crear filtro de métrica.

  8. En el panel de navegación, elija Grupos de registros y, a continuación, elija el filtro que creó en Filtros métricos.

  9. Seleccione la casilla de verificación del filtro. Elija Crear alarma.

  10. En Especificar métrica y condiciones, realice lo siguiente:

    1. En Condiciones, vaya a Tipo de umbral y escriba Estático.

    2. En Definir la condición de alarma, elija Mayor/Igual.

    3. En Definir el valor umbral, introduzca 1.

    4. Elija Next (Siguiente).

  11. En Configuración de acciones, haga lo siguiente:

    1. Para Desencadenador de estado de alarma, elija En alarma.

    2. En Select an SNS topic, elija Select an existing SNS topic.

    3. En Enviar notificación a, introduzca el nombre del tema de SNS que creó en el procedimiento anterior.

    4. Elija Next (Siguiente).

  12. En Añadir una descripción, escriba un nombre y la descripción de la alarma, como CIS-1.1-RootAccountUsage. A continuación, elija Siguiente.

  13. En Vista previa y creación, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

Requisitos relacionados: NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2), NIST.800-53.r5 AC-6 (3)

Categoría: Detectar > Gestión de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config : iam-policy-no-statements-with-full-access

Tipo de horario: provocado por un cambio

Parámetros:

  • excludePermissionBoundaryPolicy: True (no personalizable)

Este control comprueba si las políticas de IAM basadas en la identidad que cree incluyen instrucciones de permiso que utilizan el comodín * para conceder permisos para todas las acciones de cualquier servicio. El control falla si alguna declaración de política incluye "Effect": "Allow" con "Action": "Service:*".

Por ejemplo, la siguiente afirmación de una política da como resultado una conclusión fallida.

"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

El control también falla si se usa "Effect": "Allow" con "NotAction": "service:*". En ese caso, el NotAction elemento proporciona acceso a todas las acciones de una Servicio de AWS, excepto a las acciones especificadas enNotAction.

Este control solo se aplica a las políticas de IAM administradas por el cliente. No se aplica a las políticas de IAM gestionadas por AWS.

Al asignar permisos a Servicios de AWS, es importante incluir las acciones de IAM permitidas en sus políticas de IAM. Debe restringir las acciones de IAM solo a las acciones que sean necesarias. Esto le ayuda a proporcionar permisos con privilegios mínimos. Las políticas demasiado permisivas pueden provocar una escalada de privilegios si las políticas están vinculadas a un director de IAM que podría no requerir el permiso.

En algunos casos, es posible que desee permitir acciones de IAM que tienen un prefijo similar, como DescribeFlowLogs y DescribeAvailabilityZones. En estos casos autorizados, puede añadir un comodín con sufijo al prefijo común. Por ejemplo, ec2:Describe*.

Este control se activa si utiliza una acción de IAM con un prefijo con un comodín con sufijo. Por ejemplo, la siguiente declaración de una política da como resultado que se aprueba una conclusión.

"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Si agrupa las acciones de IAM relacionadas de esta manera, también puede evitar superar los límites de tamaño de las políticas de IAM.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para solucionar este problema, actualice sus políticas de IAM para que no permitan todos los privilegios administrativos “*”. Para conocer los detalles acerca de cómo editar una política de IAM, consulte Edición de políticas de IAM en la Guía del usuario de IAM.

[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.12, CIS Foundations Benchmark v1.4.0/1.12 AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

AWS Config regla: iam-user-unused-credentials-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los usuarios de IAM tienen contraseñas o claves de acceso activas que no se han utilizado durante 45 días o más. Para ello, comprueba si el maxCredentialUsageAge parámetro de la AWS Config regla es igual o superior a 45.

Los usuarios pueden acceder a AWS los recursos mediante diferentes tipos de credenciales, como contraseñas o claves de acceso.

CIS recomienda que elimine o desactive todas las credenciales que han dejado de utilizarse durante 45 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

La AWS Config regla para este control utiliza las operaciones GetCredentialReporty la GenerateCredentialReportAPI, que solo se actualizan cada cuatro horas. Los cambios en los usuarios de IAM pueden tardar hasta cuatro horas en ser visibles para este control.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, puede habilitar el registro de los recursos globales en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Al ver la información del usuario en la consola de IAM, hay columnas para la antigüedad de la clave de acceso, la antigüedad de la Contraseña y la Última actividad. Si el valor en cualquiera de estas columnas es superior a 45 días, desactive las credenciales de esos usuarios.

También puede utilizar los informes de credenciales para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 45 días o más. Puede descargar los informes de credenciales en formato .csv desde la consola de IAM.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, desactívalas. Para obtener instrucciones, consulte Creación, cambio o eliminación de la contraseña de un usuario de IAM (consola) en la Guía del usuario de IAM.

[IAM.23] Los analizadores del Analizador de acceso de IAM deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::AccessAnalyzer::Analyzer

AWS Config regla: tagged-accessanalyzer-analyzer (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen los requisitos de AWS No default value

Este control comprueba si un analizador gestionado por AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys El control lanza error si el analizador no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el analizador no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.

nota

No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para añadir etiquetas a un analizador, consulte TagResourceen la referencia de la AWS API de IAM Access Analyzer.

[IAM.24] Los roles de IAM deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::IAM::Role

AWS Config regla: tagged-iam-role (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen los requisitos de AWS No default value

Este control comprueba si un rol AWS Identity and Access Management (de IAM) tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control lanza error si el rol no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el rol no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.

nota

No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para agregar etiquetas a un rol de IAM, consulte Etiquetado de recursos de IAM en la Guía del usuario de IAM.

[IAM.25] Los usuarios de IAM deben etiquetarse

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::IAM::User

AWS Config regla: tagged-iam-user (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList Lista de etiquetas que cumplen los requisitos de AWS No default value

Este control comprueba si un usuario AWS Identity and Access Management (IAM) tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control lanza error si el usuario no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y lanza error si el usuario no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.

nota

No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para agregar etiquetas a un usuario de IAM, consulte Etiquetado de recursos de IAM en la Guía del usuario de IAM.

[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.19

Categoría: Identificar > Cumplimiento

Gravedad: media

Tipo de recurso: AWS::IAM::ServerCertificate

AWS Config regla: iam-server-certificate-expiration-check

Tipo de programa: Periódico

Parámetros: ninguno

Esto controla si no se elimina un certificado de SSL/TLS server certificate that is managed in IAM has expired. The control fails if the expired SSL/TLS servidor activo.

Para habilitar las conexiones HTTPS a tu sitio web o aplicación AWS, necesitas un certificado de servidor SSL/TLS. Puede usar IAM o AWS Certificate Manager (ACM) para almacenar e implementar certificados de servidor. Utilice IAM como administrador de certificados solo cuando deba admitir conexiones HTTPS en un entorno Región de AWS que no sea compatible con ACM. IAM cifra de forma segura sus claves privadas y almacena la versión cifrada en el almacenamiento de certificados SSL de IAM. IAM admite el despliegue de certificados de servidor en todas las regiones, pero debe obtener su certificado de un proveedor externo para poder utilizarlo con ellos. AWS No se puede cargar un certificado de ACM en IAM. Además, no se puede administrar los certificados desde la consola de IAM. Cuando elimina los certificados SSL/TLS vencidos, se elimina el riesgo de que un certificado no válido se implemente por accidente en un recurso, lo que puede dañar la credibilidad de la aplicación o el sitio web subyacentes.

Corrección

Para eliminar un certificado de servidor de IAM, consulte Administración de los certificados de servidor en IAM en la Guía del usuario de IAM.

[IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloud ShellFullAccess

Requisitos relacionados: CIS Foundations Benchmark v3.0.0/1.22 AWS

Categoría: Proteger > Administración de acceso seguro > Políticas de IAM seguras

Gravedad: media

Tipo de recurso: AWS::IAM::Role, AWS::IAM::User, AWS::IAM::Group

AWS Config regla: iam-policy-blacklisted-check

Tipo de horario: provocado por un cambio

Parámetros:

  • «PolicyArns»: «arn:aws:iam: :aws:» policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess

Este control comprueba si una identidad de IAM (usuario, función o grupo) tiene asociada la política gestionada. AWS AWSCloudShellFullAccess El control lanza error si una identidad de IAM tiene la política AWSCloudShellFullAccess adjunta.

AWS CloudShell proporciona una forma cómoda de ejecutar comandos CLI contra Servicios de AWS. La política AWS gestionada AWSCloudShellFullAccess proporciona acceso total a CloudShell, lo que permite cargar y descargar archivos entre el sistema local del usuario y el CloudShell entorno. Dentro del CloudShell entorno, un usuario tiene permisos de sudo y puede acceder a Internet. Como resultado, adjuntar esta política gestionada a una identidad de IAM les permite instalar software de transferencia de archivos y mover datos desde CloudShell servidores de Internet externos. Recomendamos seguir el principio de privilegio mínimo y adjuntar permisos más limitados a las identidades de IAM.

Corrección

Para desasociar la política AWSCloudShellFullAccess de una identidad de IAM, consulte Cómo agregar y eliminar permisos de identidad de IAM en la Guía del usuario de IAM.

[IAM.28] El analizador de acceso externo del Analizador de acceso de IAM debe habilitarse

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.20

Categoría: Detectar > Servicios de detección > Supervisión de uso con privilegios

Gravedad: alta

Tipo de recurso: AWS::AccessAnalyzer::Analyzer

AWS Config regla: iam-external-access-analyzer-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si un Cuenta de AWS analizador de acceso externo de IAM Access Analyzer está activado. El control lanza error si la cuenta no tiene un analizador de acceso externo habilitado en la Región de AWS seleccionada.

Los analizadores de acceso externos de IAM Access Analyzer ayudan a identificar los recursos, como los buckets de Amazon Simple Storage Service (Amazon S3) o las funciones de IAM, que se comparten con una entidad externa. De esta manera, se evita el acceso no deseado a los recursos y los datos. El Analizador de acceso de IAM es regional y debe estar habilitado en cada región. Para identificar los recursos que se comparten con entidades externas, un analizador de acceso utiliza un razonamiento basado en la lógica para analizar las políticas basadas en los recursos de su entorno. AWS Al crear un analizador de acceso externo, puede crearlo y habilitarlo para toda la organización o para cuentas individuales.

nota

Si una cuenta forma parte de una organización AWS Organizations, este control no tiene en cuenta los analizadores de acceso externos que especifican la organización como zona de confianza y están habilitados para la organización de la región actual. Si su organización usa este tipo de configuración, considere deshabilitar este control para las cuentas de los miembros individuales de su organización en la región.

Corrección

Para obtener información sobre cómo habilitar un analizador de acceso externo en una región específica, consulte Introducción al analizador de acceso de IAM en la Guía del usuario de IAM. Debe habilitar un analizador en cada región en la que desee supervisar el acceso a sus recursos.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.