[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas [IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos [IAM.4] la clave de acceso del usuario IAM root no debería existir [IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola [IAM.6] El hardware MFA debe estar habilitado para el usuario root [IAM.7] Las políticas de contraseñas para IAM los usuarios deben tener una configuración sólida [IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas [IAM.9] MFA debe estar activado para el usuario root [IAM.10] Las políticas de contraseñas para IAM los usuarios deben tener una duración rigurosa AWS Config [IAM.11] Asegúrese de que la política de IAM contraseñas requiera al menos una letra mayúscula [IAM.12] Asegúrese de que la política de IAM contraseñas requiera al menos una letra minúscula [IAM.13] Asegúrese de que la política de IAM contraseñas requiera al menos un símbolo [IAM.14] Asegúrese de que la política de IAM contraseñas requiera al menos un número [IAM.15] Asegúrese de que la política de IAM contraseñas exija una longitud de contraseña mínima de 14 o más [IAM.16] Asegúrese de que la política de IAM contraseñas impida su reutilización [IAM.17] Asegúrese de que la política de contraseñas IAM haga caducar las contraseñas en un plazo de 90 días o menos [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support [IAM.19] MFA debe estar habilitado para todos los usuarios IAM [IAM.20] Evite el uso del usuario root [IAM.21] Las políticas gestionadas por el IAM cliente que cree no deberían permitir acciones comodín para los servicios [IAM.22] Se deben eliminar las credenciales de IAM usuario que no se hayan utilizado durante 45 días [IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados Los IAM roles deben estar etiquetados [IAM.24]Se debe etiquetar a IAM los usuarios [IAM.25][IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse [IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta [IAM.28] El analizador de IAM acceso externo Access Analyzer debe estar activado

Controles de Security Hub para IAM

Estos AWS Security Hub controles evalúan el AWS Identity and Access Management (IAM) servicio y los recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-2, (7),, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (10), (2), NIST.800-53.r5 AC-3 (3) NIST.800-53.r5 AC-5 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: alta

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config : iam-policy-no-statements-with-admin-access

Tipo de horario: provocado por un cambio

Parámetros:

excludePermissionBoundaryPolicy: true (no personalizable)

Este control comprueba si la versión predeterminada de las IAM políticas (también conocidas como políticas gestionadas por el cliente) tiene acceso de administrador mediante la inclusión de una declaración con la palabra «with over». "Effect": "Allow" "Action": "*" "Resource": "*" El control falla si tiene IAM políticas con una declaración de este tipo.

El control solo comprueba las políticas administradas por el cliente que haya creado usted. No comprueba las políticas integradas ni las AWS gestionadas.

IAMlas políticas definen un conjunto de privilegios que se otorgan a los usuarios, grupos o roles. Siguiendo los consejos de seguridad estándar, se AWS recomienda conceder los privilegios mínimos, es decir, conceder únicamente los permisos necesarios para realizar una tarea. Cuando proporciona privilegios administrativos completos en lugar del conjunto mínimo de permisos que necesita el usuario, expone los recursos a acciones potencialmente no deseadas.

En lugar de concederles privilegios administrativos totales, determine las tareas que tienen que realizar los usuarios y elabore políticas al respecto para permitir a los usuarios realizar solo esas tareas. Es más seguro comenzar con un conjunto mínimo de permisos y conceder permisos adicionales según sea necesario. No comience con permisos demasiado indulgentes para luego restringirlos más adelante.

Debe eliminar IAM las políticas que tengan una declaración "Effect": "Allow" con el signo «"Action": "*"over"Resource": "*"».

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, el registro de recursos globales se puede habilitar en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Para modificar sus IAM políticas de manera que no permitan todos los privilegios administrativos con una «*», consulte Edición de IAM políticas en la Guía del IAM usuario.

[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas

Requisitos relacionados: PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v3.0.0/1.15, Foundations Benchmark v1.2.0/1.16,, CIS AWS NIST.800-53.r5 AC-2 (1), (15), (7) NIST.800-53.r5 AC-2, (3) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : iam-user-no-policies-check

Tipo de horario: provocado por un cambio

Parámetros: ninguno

Este control IAM comprueba si sus usuarios tienen políticas asociadas. El control falla si IAM los usuarios tienen políticas adjuntas. En su lugar, IAM los usuarios deben heredar los permisos de IAM los grupos o asumir un rol.

De forma predeterminada, IAM los usuarios, los grupos y los roles no tienen acceso a AWS los recursos. IAMlas políticas otorgan privilegios a los usuarios, grupos o roles. Le recomendamos que aplique IAM las políticas directamente a los grupos y roles, pero no a los usuarios. La asignación de privilegios en el nivel de grupo o rol reduce la complejidad de la administración del acceso a medida que crece el número de usuarios. A su vez, la reducción de la complejidad de la administración del acceso podría reducir la oportunidad de que una entidad principal reciba o conserve accidentalmente excesivos privilegios.

nota

IAMlos usuarios creados por Amazon Simple Email Service se crean automáticamente mediante políticas integradas. Security Hub exime automáticamente a estos usuarios de este control.

Corrección

Para resolver este problema, cree un IAM grupo y asocie la política al grupo. Luego, agregue los usuarios al grupo. La política se aplica a cada usuario del grupo. Para eliminar una política asociada directamente a un usuario, consulte Añadir y quitar permisos de IAM identidad en la Guía del IAM usuario.

[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.14, Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, (1), CIS AWS (3), (15) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : access-keys-rotated

Tipo de programa: Periódico

Parámetros:

maxAccessKeyAge: 90 (no personalizable)

Este control comprueba si las claves de acceso activas rotan en un plazo de 90 días.

Le recomendamos encarecidamente que no genere y elimine todas las claves de acceso de la cuenta. En su lugar, la mejor práctica recomendada es crear uno o más roles o utilizar la federación. IAM AWS IAM Identity Center Puede utilizar estos métodos para permitir que sus usuarios accedan a AWS Management Console y AWS CLI.

Cada enfoque tiene sus casos de uso. Por lo general, la federación es mejor para las empresas que tienen un directorio central existente o que planean necesitar más IAM usuarios que el límite actual. Las aplicaciones que se ejecutan fuera de un AWS entorno necesitan claves de acceso para acceder a AWS los recursos mediante programación.

Sin embargo, si los recursos que necesitan acceso programático se ejecutan internamente AWS, la mejor práctica es utilizar IAM roles. Los roles le permiten conceder acceso a un recurso sin codificar de forma rígida un ID de clave de acceso y una clave de acceso secreta en la configuración.

Para obtener más información sobre cómo proteger las claves de acceso y la cuenta, consulte Prácticas recomendadas para administrar las claves de AWS acceso en el Referencia general de AWS. Consulte también la entrada del blog Pautas para protegerse Cuenta de AWS mientras utiliza el acceso programático.

Si ya tiene una clave de acceso, Security Hub recomienda que rote las claves de acceso cada 90 días. La rotación de las claves de acceso reduce la posibilidad de que se utilice una clave de acceso asociada a una cuenta en peligro o cancelada. También garantiza que no se pueda acceder a los datos con una clave antigua que podría haberse perdido, revelado o robado. Actualice siempre sus aplicaciones después de rotar las claves de acceso.

Las claves de acceso constan de un ID de clave de acceso y de una clave de acceso secreta. Se utilizan para firmar las solicitudes programáticas que realiza a AWS. Los usuarios necesitan sus propias teclas de acceso para realizar llamadas programáticas AWS desde las AWS CLI Herramientas para Windows PowerShell o HTTP realizar llamadas directas mediante las API operaciones individuales. AWS SDKs Servicios de AWS

Si su organización usa AWS IAM Identity Center (IAMIdentity Center), sus usuarios pueden iniciar sesión en Active Directory, en un directorio de IAM Identity Center integrado o en otro proveedor de identidad (IdP) conectado a IAM Identity Center. A continuación, se pueden asignar a un IAM rol que les permita ejecutar AWS CLI comandos o realizar AWS API operaciones de llamada sin necesidad de teclas de acceso. Para obtener más información, consulte Configuración del AWS CLI uso AWS IAM Identity Center en la Guía del AWS Command Line Interface usuario.

nota

Corrección

Para rotar las claves de acceso que tienen más de 90 días de antigüedad, consulte Cómo rotar las claves de acceso en la Guía del IAM usuario. Siga las instrucciones para cualquier usuario cuya clave de acceso tenga más de 90 días de antigüedad.

[IAM.4] la clave de acceso del usuario IAM root no debería existir

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, Foundations Benchmark v1.2.0/1.12, CIS AWS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), PCI DSS (2) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-root-access-key-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si está presente la clave de acceso del usuario raíz.

El usuario root es Cuenta de AWS el usuario con más privilegios de un. AWS las claves de acceso proporcionan acceso programático a una cuenta determinada.

Security Hub recomienda quitar todas las claves de acceso asociadas al usuario raíz. Esto limita los vectores que se pueden utilizar para comprometer su cuenta. También fomenta la creación y el uso de cuentas basadas en roles, que tienen menos privilegios.

Corrección

Para eliminar la clave de acceso del usuario root, consulte Eliminar las claves de acceso del usuario root en la Guía del IAM usuario. Para eliminar las claves de acceso del usuario root de una entrada Cuenta de AWS AWS GovCloud (US), consulte Eliminar las claves de acceso del usuario root de mi AWS GovCloud (US) cuenta en la Guía del AWS GovCloud (US) usuario.

[IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, (1), (15), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), NIST.800-53.r5 IA-2 (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : mfa-enabled-for-iam-console-access

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la autenticación AWS multifactorial () está habilitada para todos los usuarios que utilizan una contraseña de consola. MFA IAM

La autenticación multifactorial (MFA) añade una capa adicional de protección además del nombre de usuario y la contraseña. Si MFA está habilitada, cuando un usuario inicia sesión en un AWS sitio web, se le solicita su nombre de usuario y contraseña. Además, se les solicita un código de autenticación desde su AWS MFA dispositivo.

Te recomendamos que lo habilites MFA para todas las cuentas que tengan una contraseña de consola. MFAestá diseñado para proporcionar una mayor seguridad al acceso a la consola. La entidad de autenticación debe poseer un dispositivo que emita una clave sujeta a limitación temporal y debe tener conocimiento de una credencial.

nota

Corrección

MFAPara añadir IAM usuarios, consulte Uso de la autenticación multifactorial (MFA) AWS en la Guía del IAM usuario.

Ofrecemos una clave de MFA seguridad gratuita a los clientes que cumplan los requisitos. Compruebe si cumple los requisitos y solicite su clave gratuita.

[IAM.6] El hardware MFA debe estar habilitado para el usuario root

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), NIST.800-53.r5 AC-3 (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoría: Proteger - Administración de acceso seguro

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : root-account-hardware-mfa-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si Cuenta de AWS está habilitado para usar un dispositivo de autenticación multifactor () de hardware para iniciar sesión con las credenciales de usuario raíz. MFA El control falla si MFA no está activado o si algún MFA dispositivo virtual puede iniciar sesión con credenciales de usuario root.

MFAEs posible que los dispositivos virtuales no ofrezcan el mismo nivel de seguridad que MFA los dispositivos de hardware. Le recomendamos que utilice solo un MFA dispositivo virtual mientras espera a que se apruebe la compra de hardware o a que llegue el hardware. Para obtener más información, consulte Habilitar un dispositivo (consolaMFA) de autenticación multifactor virtual () en la Guía del IAM usuario.

Tanto la contraseña de un solo uso basada en el tiempo (TOTP) como los tokens universales de segundo factor (U2F) son opciones de hardware viables. MFA

Corrección

Para añadir un MFA dispositivo de hardware para el usuario root, consulte Habilitar un MFA dispositivo de hardware para el usuario Cuenta de AWS root (consola) en la Guía del IAM usuario.

Ofrecemos una clave de MFA seguridad gratuita a los clientes que reúnan los requisitos. Compruebe si cumple los requisitos y solicite su clave gratuita.

[IAM.7] Las políticas de contraseñas para IAM los usuarios deben tener una configuración sólida

Requisitos relacionados: NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-2 (3), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 IA-5 (1)

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`RequireUppercaseCharacters`	Requiere que al menos haya un carácter en mayúscula en la contraseña	Booleano	`true` o `false`	`true`
`RequireLowercaseCharacters`	Requiere que al menos haya un carácter en minúscula en la contraseña	Booleano	`true` o `false`	`true`
`RequireSymbols`	Requiere que al menos haya un símbolo en la contraseña	Booleano	`true` o `false`	`true`
`RequireNumbers`	Requiere que al menos haya un número en la contraseña	Booleano	`true` o `false`	`true`
`MinimumPasswordLength`	Cantidad mínima de caracteres en la contraseña	Entero	De `8` a `128`	`8`
`PasswordReusePrevention`	Cantidad de rotaciones de contraseñas para poder reutilizar una contraseña anterior	Entero	De `12` a `24`	Sin valor predeterminado
`MaxPasswordAge`	Cantidad de días antes de que la contraseña expire	Entero	De `1` a `90`	Sin valor predeterminado

Este control comprueba si la política de contraseñas de las cuentas de IAM los usuarios utiliza configuraciones seguras. Se producirá un error en el control si la política de contraseñas no utiliza configuraciones seguras. A menos que proporcione valores personalizados de parámetros, Security Hub utiliza los valores predeterminados que se mencionan en la tabla anterior. Los parámetros PasswordReusePrevention y MaxPasswordAge no tienen un valor predeterminado, por lo que, si los excluye, Security Hub ignora la cantidad de rotaciones de contraseñas y la antigüedad de la contraseña al evaluar este control.

Para acceder a AWS Management Console, los IAM usuarios necesitan contraseñas. Como práctica recomendada, Security Hub recomienda encarecidamente que, en lugar de crear IAM usuarios, utilice la federación. La federación permite a los usuarios utilizar sus credenciales corporativas existentes para iniciar sesión en AWS Management Console. Utilice AWS IAM Identity Center (IAMIdentity Center) para crear o federar el usuario y, a continuación, asuma un IAM rol en una cuenta.

Para obtener más información sobre los proveedores de identidad y la federación, consulte Proveedores de identidad y federación en la Guía del IAM usuario. Para obtener más información sobre IAM Identity Center, consulte la Guía del AWS IAM Identity Center usuario.

Si necesita usar IAM usuarios, Security Hub recomienda que exija la creación de contraseñas de usuario seguras. Puede establecer una política de contraseñas Cuenta de AWS para especificar los requisitos de complejidad y los períodos de rotación obligatorios de las contraseñas. Al crear o cambiar una política de contraseñas, la mayoría de los ajustes de la política de contraseñas se aplican la siguiente vez que los usuarios cambien sus contraseñas. Algunos de los ajustes se aplican de forma inmediata.

Corrección

Para actualizar su política de contraseñas, consulte Configuración de una política de contraseñas de cuentas para IAM los usuarios en la Guía del IAM usuario.

[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, CIS AWS Foundations Benchmark v1.2.0/1.3, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-2, (3), (15), NIST.800-53.r5 AC-2 (7), NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : iam-user-unused-credentials-check

Tipo de programa: Periódico

Parámetros:

maxCredentialUsageAge: 90 (no personalizable)

Este control comprueba si IAM los usuarios tienen contraseñas o claves de acceso activas que no se han utilizado durante 90 días.

IAMlos usuarios pueden acceder a AWS los recursos mediante distintos tipos de credenciales, como contraseñas o claves de acceso.

Security Hub recomienda que elimine o desactive todas las credenciales que han dejado de utilizarse durante 90 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

nota

Corrección

Al ver la información del usuario en la IAM consola, hay columnas para la antigüedad de la clave de acceso, la antigüedad de la contraseña y la última actividad. Si el valor en cualquiera de estas columnas es superior a 90 días, desactive las credenciales de esos usuarios.

También puede utilizar los informes de credenciales para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 90 días o más. Puede descargar los informes de credenciales en .csv formato desde la IAM consola.

Después de identificar las cuentas inactivas o las credenciales no utilizadas, desactívalas. Para obtener instrucciones, consulte Crear, cambiar o eliminar una contraseña de IAM usuario (consola) en la Guía del IAM usuario.

[IAM.9] MFA debe estar activado para el usuario root

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v3.0.0/1.5, Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, CIS AWS (1), (15), NIST.800-53.r5 AC-2 (1), (2), (6), NIST.800-53.r5 AC-3 (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Categoría: Proteger - Administración de acceso seguro

Gravedad: crítica

Tipo de recurso: AWS::::Account

Regla de AWS Config : root-account-mfa-enabled

Tipo de programa: Periódico

Parámetros: ninguno

El usuario raíz tiene acceso completo a todos los servicios y recursos en Cuenta de AWS. MFAañade una capa adicional de protección además del nombre de usuario y la contraseña. Si MFA está activado, cuando un usuario inicia sesión en el AWS Management Console, se le pide su nombre de usuario y contraseña y un código de autenticación de su AWS MFA dispositivo.

Cuando se utiliza virtual MFA para el usuario root, se CIS recomienda que el dispositivo utilizado no sea un dispositivo personal. Utilice, en cambio, un dispositivo móvil (tableta o teléfono) que usted mismo administre de modo que se mantenga cargado y protegido independientemente de los dispositivos personales individuales. Esto reduce los riesgos de perder el acceso al dispositivo MFA debido a la pérdida del dispositivo, al canje del dispositivo o si la persona propietaria del dispositivo ya no trabaja en la empresa.

Corrección

Para activarlo MFA para el usuario root, consulte Activar MFA en el usuario Cuenta de AWS root en la Guía de referencia de administración de AWS cuentas.

[IAM.10] Las políticas de contraseñas para IAM los usuarios deben tener una duración rigurosa AWS Config

Requisitos relacionados: PCI DSS v3.2.1/8.1.4, v3.2.1/8.2.3, v3.2.1/8.2.4, v3.2.1/8.2.5 PCI DSS PCI DSS PCI DSS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la política de contraseñas de las cuentas de los usuarios utiliza las siguientes configuraciones IAM mínimas. PCI DSS

RequireUppercaseCharacters: requiere que al menos haya un carácter en mayúscula en la contraseña. (Valor predeterminado = true)
RequireLowercaseCharacters: requiere que al menos haya un carácter en minúscula en la contraseña. (Valor predeterminado = true)
RequireNumbers: requiere que al menos haya un número en la contraseña. (Valor predeterminado = true)
MinimumPasswordLength: longitud mínima de la contraseña. (Predeterminado = 7 o más)
PasswordReusePrevention: número de contraseñas antes de que se permita reutilizarlas. (Valor predeterminado = 4)
MaxPasswordAge — Número de días antes de que caduque la contraseña. (Valor predeterminado = 90)

Corrección

Para actualizar la política de contraseñas y usar la configuración recomendada, consulte Establecer una política de contraseñas de cuentas para IAM los usuarios en la Guía del IAM usuario.

[IAM.11] Asegúrese de que la política de IAM contraseñas requiera al menos una letra mayúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.5

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice políticas de IAM contraseñas para garantizar que las contraseñas utilicen conjuntos de caracteres diferentes.

CISrecomienda que la política de contraseñas requiera al menos una letra mayúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configuración de una política de contraseñas de cuentas para IAM los usuarios en la Guía del IAM usuario. Para lograr una Contraseña fuerte, seleccione Se requiere al menos una letra mayúscula del alfabeto latino (A-Z).

[IAM.12] Asegúrese de que la política de IAM contraseñas requiera al menos una letra minúscula

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.6

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice políticas de IAM contraseñas para asegurarse de que las contraseñas utilicen conjuntos de caracteres diferentes. CISrecomienda que la política de contraseñas requiera al menos una letra minúscula. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configuración de una política de contraseñas de cuentas para IAM los usuarios en la Guía del IAMusuario. Para lograr una Contraseña fuerte, seleccione Se requiere al menos una letra minúscula del alfabeto latino (A-Z).

[IAM.13] Asegúrese de que la política de IAM contraseñas requiera al menos un símbolo

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.7

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

CISrecomienda que la política de contraseñas requiera al menos un símbolo. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configuración de una política de contraseñas de cuentas para IAM los usuarios en la Guía del IAM usuario. Para la Seguridad de la contraseña, seleccione Requerir al menos un carácter no alfanumérico.

[IAM.14] Asegúrese de que la política de IAM contraseñas requiera al menos un número

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.8

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

CISrecomienda que la política de contraseñas requiera al menos un número. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

[IAM.15] Asegúrese de que la política de IAM contraseñas exija una longitud de contraseña mínima de 14 o más

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.8, Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9 CIS AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Las políticas de contraseñas aplican, en parte, los requisitos de complejidad de las contraseñas. Utilice políticas de IAM contraseñas para asegurarse de que las contraseñas tengan al menos una longitud determinada.

CISrecomienda que la política de contraseñas exija una longitud mínima de 14 caracteres. La configuración de una política de complejidad de contraseñas aumenta la resiliencia de la cuenta ante intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configuración de una política de contraseñas de cuentas para IAM los usuarios en la Guía del IAM usuario. Para la Longitud mínima de la contraseña, introduzca 14 o un número mayor.

[IAM.16] Asegúrese de que la política de IAM contraseñas impida su reutilización

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.9, Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10 CIS AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el número de contraseñas que se deben recordar está establecido en 24. El control falla si el valor no es 24.

IAMlas políticas de contraseñas pueden impedir que el mismo usuario vuelva a utilizar una contraseña determinada.

CISrecomienda que la política de contraseñas impida la reutilización de las contraseñas. Evitar la reutilización de contraseñas de aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta.

Corrección

Para cambiar la política de contraseñas, consulte Configuración de una política de contraseñas de cuentas para IAM los usuarios en la Guía del IAM usuario. Para Impedir la reutilización de la contraseña, introduzca 24.

[IAM.17] Asegúrese de que la política de contraseñas IAM haga caducar las contraseñas en un plazo de 90 días o menos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.11

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-password-policy

Tipo de programa: Periódico

Parámetros: ninguno

IAMlas políticas de contraseñas pueden requerir que las contraseñas se roten o caduquen después de un número determinado de días.

CISrecomienda que la política de contraseñas haga caducar las contraseñas después de 90 días o menos. La reducción de la vida útil de la contraseña aumenta la resiliencia de la cuenta frente a intentos de inicio de sesión por fuerza bruta. Exigir cambios regulares de contraseña también es útil en los siguientes casos:

Las contraseñas pueden ser robadas o estar en peligro sin que usted lo sepa. Esto puede ocurrir debido a un sistema amenazado, una vulnerabilidad de software o una amenaza interna.
Algunos filtros web corporativas y gubernamentales o servidores proxy puede interceptar y registrar el tráfico incluso si está cifrado.
Muchas personas utilizan la misma contraseña para muchos sistemas como, por ejemplo, trabajo, correo electrónico y personal.
Algunas estaciones de trabajo de usuarios finales en peligro podrían tener un registrador de combinación de teclas.

Corrección

Para cambiar la política de contraseñas, consulte Configuración de una política de contraseñas de cuentas para IAM los usuarios en la Guía del IAM usuario. Para Activar la caducidad de la contraseña, introduzca 90 o un número menor.

[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.17, Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20 CIS AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::::Account

Regla de AWS Config : iam-policy-in-use

Tipo de programa: Periódico

Parámetros:

policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (no personalizable)
policyUsageType: ANY (no personalizable)

AWS proporciona un centro de soporte que se puede utilizar para la notificación y respuesta a incidentes, así como para el soporte técnico y el servicio de atención al cliente.

Cree un IAM rol que permita a los usuarios autorizados gestionar los incidentes con AWS Support. Al implementar los privilegios mínimos para el control de acceso, un IAM rol requerirá una IAM política adecuada que permita el acceso al centro de soporte para gestionar los incidentes AWS Support.

nota

Corrección

Para solucionar este problema, cree un rol que permita a los usuarios autorizados administrar incidentes de AWS Support .

Para crear el rol que se utilizará para el AWS Support acceso

Abra la IAM consola en https://console.aws.amazon.com/iam/.
En el panel IAM de navegación, elija Roles y, a continuación, elija Crear rol.
En Tipo de rol, elija Otro Cuenta de AWS.
En el campo ID de cuenta, introduce el Cuenta de AWS ID de la Cuenta de AWS persona a la que quieres conceder acceso a tus recursos.

Si los usuarios o grupos que asumirán este rol están en la misma cuenta, introduzca el número de cuenta local.

nota
El administrador de la cuenta especificada puede conceder permiso para asumir este rol a cualquier usuario de en esa cuenta. Para ello, el administrador asocia una política al usuario o grupo que concede permiso para la acción sts:AssumeRole. En esa política, el recurso debe ser el rolARN.
Elija Siguiente: permisos.
Busque la política administrada AWSSupportAccess.
Seleccione la casilla de verificación de la política administrada AWSSupportAccess.
Elija Siguiente: etiquetas.
(Opcional) Para agregar metadatos al rol, asocie etiquetas como pares clave-valor.

Para obtener más información sobre el uso de etiquetas enIAM, consulte Etiquetar IAM usuarios y roles en la Guía del IAM usuario.
Elija Siguiente: Revisar.
Escriba un nombre para el rol en Nombre de rol.

Los nombres de los roles deben ser únicos dentro de su. Cuenta de AWS No distinguen entre mayúsculas y minúsculas.
(Opcional) En Descripción del rol, introduzca una descripción para el nuevo rol.
Revise el rol y, a continuación, elija Create role (Crear rol).

Mostrar menos

[IAM.19] MFA debe estar habilitado para todos los usuarios IAM

Requisitos relacionados: PCI DSS v3.2.1/8.3.1, NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8) NIST.800-53.r5 IA-2

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : iam-user-mfa-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si los IAM usuarios tienen habilitada la autenticación multifactorial (). MFA

nota

Corrección

MFAPara añadir IAM usuarios, consulte Habilitar MFA dispositivos para usuarios AWS en la Guía del IAM usuario.

[IAM.20] Evite el uso del usuario root

importante

Security Hub retiró este control en abril de 2024. Para obtener más información, consulte Registro de cambios en los controles de Security Hub.

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/1.1

Categoría: Proteger - Administración de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::IAM::User

Regla de AWS Config : use-of-root-account-test (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si hay restricciones en el uso del usuario root. Cuenta de AWS El control evalúa los siguientes recursos:

Temas de Amazon Simple Notification Service (AmazonSNS)
AWS CloudTrail senderos
Filtros métricos asociados a los CloudTrail senderos
CloudWatch Alarmas de Amazon basadas en los filtros

Esta comprobación da como resultado FAILED si una o varias de las siguientes afirmaciones son verdaderas:

No hay CloudTrail rastros en la cuenta.
Una CloudTrail ruta está habilitada, pero no configurada con al menos una ruta multirregional que incluya eventos de administración de lectura y escritura.
Una CloudTrail ruta está habilitada, pero no está asociada a un grupo de CloudWatch registros.
No se utiliza el filtro métrico exacto prescrito por el Center for Internet Security (CIS). El filtro métrico prescrito es '{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.
No existe ninguna CloudWatch alarma basada en el filtro métrico en la cuenta.
CloudWatch las alarmas configuradas para enviar notificaciones al SNS tema asociado no se activan en función del estado de la alarma.
El SNS tema no cumple con las restricciones para enviar un mensaje a un SNS tema.
El SNS tema no tiene al menos un suscriptor.

Esta comprobación da como resultado NO_DATA si una o más de las siguientes afirmaciones son verdaderas:

Una ruta multirregional se basa en una Región diferente. Security Hub solo puede generar resultados en la Región en la que se encuentra el rastro.
Una ruta multirregional pertenece a una cuenta diferente. Security Hub solo puede generar resultados para la cuenta propietaria de la ruta.

Esta comprobación da como resultado WARNING si una o más de las siguientes afirmaciones son verdaderas:

La cuenta corriente no es propietaria del SNS tema al que se hace referencia en la CloudWatch alarma.
La cuenta corriente no tiene acceso al SNS tema al invocar el ListSubscriptionsByTopic SNSAPI.

nota

Recomendamos utilizar los registros de la organización para registrar los eventos de varias cuentas de una organización. De forma predeterminada, las rutas de organización son rutas multirregionales y solo las puede administrar la cuenta AWS Organizations de administración o la cuenta de CloudTrail administrador delegado. El uso de un registro de la organización da como resultado un estado de control de NO_ DATA para los controles evaluados en las cuentas de los miembros de la organización. En las cuentas de los miembros, Security Hub solo genera resultados para los recursos propiedad de los miembros. Los resultados relacionados con los registros de la organización se generan en la cuenta del propietario del recurso. Puede ver estos resultados en su cuenta de administrador delegado de Security Hub mediante la agregación entre regiones.

Como práctica recomendada, utilice sus credenciales de usuario raíz solo cuando sea necesario para realizar tareas de administración de cuentas y servicios. Aplique IAM las políticas directamente a los grupos y funciones, pero no a los usuarios. Para obtener instrucciones sobre cómo configurar un administrador para el uso diario, consulte Creación del primer grupo y usuario IAM administrador en la Guía del IAM usuario.

Corrección

Los pasos para solucionar este problema incluyen configurar un SNS tema de Amazon, una CloudTrail ruta, un filtro de métricas y una alarma para el filtro de métricas.

Para crear un SNS tema de Amazon

Abre la SNS consola de Amazon en la https://console.aws.amazon.com/sns/versión 3/home.
Crea un SNS tema de Amazon que reciba todas las CIS alarmas.

Cree al menos un suscriptor al tema. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

A continuación, configura un activo CloudTrail que se aplique a todas las regiones. Para ello, siga los pasos de corrección en [CloudTrail.1] CloudTrail debe habilitarse y configurarse con al menos un registro multirregional que incluya eventos de administración de lectura y escritura.

Anote el nombre del grupo de CloudWatch registros que asocie a la CloudTrail ruta. Cree el filtro de métricas en el grupo de registro.

Por último, cree el filtro métrico y la alarma.

Para crear un filtro de métricas y alarma

Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.
En el panel de navegación, seleccione Grupos de registro.
Seleccione la casilla de verificación del grupo de CloudWatch registros que está asociado a la CloudTrail ruta que ha creado.
En Acciones, elija Crear filtro de métricas.
En Definir patrón, haga lo siguiente:
1. Copie el siguiente patrón y, a continuación, péguelo en el campo Filter Pattern (Patrón de filtros).
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
2. Elija Next (Siguiente).
En Asignar métrica, haga lo siguiente:
1. En Nombre de filtro, escriba un nombre para el filtro de métricas.
2. En Espacio de nombres de métrica, escriba LogMetrics.
  
  Si usa el mismo espacio de nombres para todos sus filtros de métricas de CIS registro, todas las métricas de CIS Benchmark se agrupan.
3. Para Nombre de métrica, ingrese un nombre para la métrica. Recuerde el nombre de la métrica. Deberá seleccionar la métrica al crear la alarma.
4. En Metric Value (Valor de métrica), ingrese 1.
5. Elija Next (Siguiente).
En Revisar y crear, compruebe la información que proporcionó para el nuevo filtro de métricas. A continuación, elija Crear filtro de métrica.
En el panel de navegación, elija Grupos de registros y, a continuación, elija el filtro que creó en Filtros métricos.
Seleccione la casilla de verificación del filtro. Elija Crear alarma.
En Especificar métrica y condiciones, realice lo siguiente:
1. En Condiciones, vaya a Tipo de umbral y escriba Estático.
2. En Definir la condición de alarma, elija Mayor/Igual.
3. En Definir el valor umbral, introduzca 1.
4. Elija Next (Siguiente).
En Configuración de acciones, haga lo siguiente:
1. Para Desencadenador de estado de alarma, elija En alarma.
2. En Seleccione un SNS tema, elija Seleccionar un tema existente SNS.
3. En Enviar una notificación a, introduzca el nombre del SNS tema que creó en el procedimiento anterior.
4. Elija Next (Siguiente).
En Añadir una descripción, escriba un nombre y la descripción de la alarma, como CIS-1.1-RootAccountUsage. A continuación, elija Next.
En Vista previa y creación, revise la configuración de la alarma. A continuación, elija Create Alarm (Crear alarma).

Mostrar menos

[IAM.21] Las políticas gestionadas por el IAM cliente que cree no deberían permitir acciones comodín para los servicios

Requisitos relacionados: NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6 (10) NIST.800-53.r5 AC-6, (2), NIST.800-53.r5 AC-6 (3) NIST.800-53.r5 AC-6

Categoría: Detectar > Gestión de acceso seguro

Gravedad: baja

Tipo de recurso: AWS::IAM::Policy

Regla de AWS Config : iam-policy-no-statements-with-full-access

Tipo de horario: provocado por un cambio

Parámetros:

excludePermissionBoundaryPolicy: True (no personalizable)

Este control comprueba si las políticas IAM basadas en la identidad que cree permiten instrucciones que utilicen el comodín * para conceder permisos para todas las acciones de cualquier servicio. El control falla si alguna declaración de política incluye "Effect": "Allow" con "Action": "Service:*".

Por ejemplo, la siguiente afirmación de una política da como resultado una conclusión fallida.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

El control también falla si se usa "Effect": "Allow" con "NotAction": "service:*". En ese caso, el NotAction elemento proporciona acceso a todas las acciones de un Servicio de AWS, excepto a las acciones especificadas en. NotAction

Este control solo se aplica a las IAM políticas gestionadas por el cliente. No se aplica a IAM las políticas gestionadas por AWS.

Al asignar permisos a Servicios de AWS, es importante determinar las IAM acciones permitidas en sus IAM políticas. Debes restringir IAM las acciones solo a las que sean necesarias. Esto le ayuda a proporcionar permisos con privilegios mínimos. Las políticas demasiado permisivas pueden provocar una escalada de privilegios si las políticas están vinculadas a un IAM director que podría no requerir el permiso.

En algunos casos, es posible que desee permitir IAM acciones que tengan un prefijo similar, como y. DescribeFlowLogs DescribeAvailabilityZones En estos casos autorizados, puede añadir un comodín con sufijo al prefijo común. Por ejemplo, ec2:Describe*.

Este control se activa si utiliza una IAM acción con un prefijo con un comodín con el sufijo. Por ejemplo, la siguiente declaración de una política da como resultado que se aprueba una conclusión.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Al agrupar IAM las acciones relacionadas de esta manera, también puede evitar superar los límites de tamaño de la IAM póliza.

nota

Corrección

Para solucionar este problema, actualice sus IAM políticas para que no permitan todos los privilegios administrativos con el signo «*». Para obtener más información sobre cómo editar una IAM política, consulte Edición de IAM políticas en la Guía del IAM usuario.

[IAM.22] Se deben eliminar las credenciales de IAM usuario que no se hayan utilizado durante 45 días

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.12, Foundations Benchmark v1.4.0/1.12 CIS AWS

Categoría: Proteger - Administración de acceso seguro

Gravedad: media

Tipo de recurso: AWS::IAM::User

AWS Config regla: iam-user-unused-credentials-check

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si IAM los usuarios tienen contraseñas o claves de acceso activas que no se han utilizado durante 45 días o más. Para ello, comprueba si el maxCredentialUsageAge parámetro de la AWS Config regla es igual o superior a 45.

Los usuarios pueden acceder a AWS los recursos mediante diferentes tipos de credenciales, como contraseñas o claves de acceso.

CISrecomienda eliminar o desactivar todas las credenciales que no se hayan utilizado durante 45 días o más. Al deshabilitar o eliminar credenciales innecesarias se reduce la oportunidad de que se utilicen credenciales asociadas a una cuenta en peligro o abandonada.

La AWS Config regla de este control utiliza las GenerateCredentialReportAPIoperaciones GetCredentialReporty, que solo se actualizan cada cuatro horas. Los cambios en IAM los usuarios pueden tardar hasta cuatro horas en ser visibles para este control.

nota

AWS Config debe estar activado en todas las regiones en las que utilice Security Hub. Sin embargo, puede habilitar el registro de los recursos globales en una sola región. Si solo registra recursos globales en una única región, puede desactivar este control en todas las regiones salvo aquella en la que haya registrado los recursos globales.

Corrección

Al ver la información del usuario en la IAM consola, hay columnas para la antigüedad de la clave de acceso, la antigüedad de la contraseña y la última actividad. Si el valor en cualquiera de estas columnas es superior a 45 días, desactive las credenciales de esos usuarios.

También puede utilizar los informes de credenciales para monitorizar a los usuarios e identificar a aquellos que no tienen actividad durante 45 días o más. Puede descargar los informes de credenciales en .csv formato desde la IAM consola.

[IAM.23] Los analizadores de IAM Access Analyzer deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::AccessAnalyzer::Analyzer

AWS Config regla: tagged-accessanalyzer-analyzer (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	`No default value`

Este control comprueba si un analizador gestionado por AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) tiene etiquetas con las claves específicas definidas en el parámetro. requiredTagKeys El control falla si el analizador no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro. requiredTagKeys Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el analizador no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.

nota

No añada información de identificación personal (PII) ni otra información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para añadir etiquetas a un analizador, consulte la referencia del analizador TagResourcede AWS IAMacceso. API

Los IAM roles deben estar etiquetados [IAM.24]

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::IAM::Role

AWS Config regla: tagged-iam-role (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	`No default value`

Este control comprueba si un rol AWS Identity and Access Management (IAM) tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control produce un error si el rol no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y genera un error si el rol no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a un IAM rol, consulte Etiquetar IAM recursos en la Guía del IAM usuario.

Se debe etiquetar a IAM los usuarios [IAM.25]

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::IAM::User

AWS Config regla: tagged-iam-user (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro	Descripción	Tipo	Valores personalizados permitidos	Valor predeterminado de Security Hub
`requiredTagKeys`	Lista de claves de etiquetas que no están en el sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas.	StringList	Lista de etiquetas que cumplen AWS los requisitos	`No default value`

Este control comprueba si un usuario AWS Identity and Access Management (IAM) tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el usuario no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el usuario no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.

nota

Corrección

Para añadir etiquetas a un IAM usuario, consulte Etiquetar IAM recursos en la Guía del IAM usuario.

[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.19

Categoría: Identificar > Cumplimiento

Gravedad: media

Tipo de recurso: AWS::IAM::ServerCertificate

AWS Config regla: iam-server-certificate-expiration-check

Tipo de programa: Periódico

Parámetros: ninguno

Esto controla si un certificado deSSL/TLSservidor activo que se administra IAM ha caducado. El control falla si no se elimina el certificadoSSL/de TLS servidor caducado.

Para habilitar HTTPS las conexiones a su sitio web o aplicación AWS, necesita un certificado de TLS servidorSSL/. Puede usar IAM o AWS Certificate Manager (ACM) para almacenar e implementar certificados de servidor. IAMÚselo como administrador de certificados solo cuando deba admitir HTTPS conexiones en un Región de AWS entorno no compatible conACM. IAMcifra de forma segura sus claves privadas y almacena la versión cifrada en el almacenamiento de IAM SSL certificados. IAMadmite el despliegue de certificados de servidor en todas las regiones, pero debe obtener su certificado de un proveedor externo para poder utilizarlo con AWS ellos. No puede cargar un ACM certificado aIAM. Además, no puede administrar sus certificados desde la IAM consola. Al eliminar TLS los certificadosSSL/caducados, se elimina el riesgo de que un certificado no válido se despliegue accidentalmente en un recurso, lo que puede dañar la credibilidad de la aplicación o el sitio web subyacentes.

Corrección

Para eliminar un certificado de servidorIAM, consulte Administrar certificados de servidor IAM en la Guía del IAM usuario.

[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.22

Categoría: Proteger > Administración de acceso seguro > Políticas de seguridad IAM

Gravedad: media

Tipo de recurso:AWS::IAM::Role,AWS::IAM::User, AWS::IAM::Group

AWS Config regla: iam-policy-blacklisted-check

Tipo de horario: provocado por un cambio

Parámetros:

policyArns«: «arn:aws:iam: :aws:policy/, arn:aws-cn:iam: :aws:policy/AWSCloudShellFullAccess, arn ::iam: :aws:policy/» AWSCloudShellFullAccess aws-us-gov AWSCloudShellFullAccess

Este control comprueba si una IAM identidad (usuario, rol o grupo) tiene asociada la política gestionada. AWS AWSCloudShellFullAccess El control produce un error si una IAM identidad tiene la AWSCloudShellFullAccess política adjunta.

AWS CloudShell proporciona una forma cómoda de ejecutar CLI comandos contra ella Servicios de AWS. La política AWS gestionada AWSCloudShellFullAccess proporciona acceso total a CloudShell, lo que permite cargar y descargar archivos entre el sistema local del usuario y el CloudShell entorno. Dentro del CloudShell entorno, un usuario tiene permisos de sudo y puede acceder a Internet. Como resultado, adjuntar esta política gestionada a una IAM identidad les permite instalar software de transferencia de archivos y mover datos desde CloudShell servidores de Internet externos. Recomendamos seguir el principio de privilegios mínimos y asignar permisos más limitados a sus identidades. IAM

Corrección

Para separar la AWSCloudShellFullAccess política de una IAM identidad, consulte Añadir y eliminar permisos de IAM identidad en la Guía del IAM usuario.

[IAM.28] El analizador de IAM acceso externo Access Analyzer debe estar activado

Requisitos relacionados: CIS AWS Foundations Benchmark v3.0.0/1.20

Categoría: Detectar > Servicios de detección > Supervisión del uso privilegiado

Gravedad: alta

Tipo de recurso: AWS::AccessAnalyzer::Analyzer

AWS Config regla: iam-external-access-analyzer-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si un Cuenta de AWS analizador de IAM acceso externo Access Analyzer está activado. El control falla si la cuenta no tiene un analizador de acceso externo activado en la cuenta actualmente seleccionada. Región de AWS

IAMLos analizadores de acceso externos de Access Analyzer ayudan a identificar los recursos de la organización y las cuentas, como los buckets o las IAM funciones de Amazon Simple Storage Service (Amazon S3), que se comparten con una entidad externa. Esto le ayuda a evitar el acceso no deseado a sus recursos y datos. IAMEl analizador de acceso es regional y debe estar habilitado en cada región. Para identificar los recursos que se comparten con directores externos, un analizador de acceso utiliza un razonamiento basado en la lógica para analizar las políticas basadas en los recursos de su entorno. AWS Al habilitar un analizador de acceso externo, se crea un analizador para toda la organización o cuenta.

Corrección

Para habilitar un analizador de acceso externo en una región específica, consulte Habilitar el analizador de IAM acceso en la Guía del usuario. IAM Debe habilitar un analizador en cada región en la que desee supervisar el acceso a sus recursos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

GuardDuty Controles de Amazon

Controles de Amazon Inspector