Identity and Access Management

La administración de identidades y accesos representa una parte clave de un programa de seguridad de la información, ya que garantiza que solo los usuarios y componentes autorizados e identificados puedan acceder a sus recursos (y solo de la forma prevista). Por ejemplo, debería definir las entidades principales (es decir, cuentas, usuarios, roles y servicios que pueden intervenir en su cuenta), crear políticas que hagan referencia a estas entidades e implementar una administración sólida de credenciales. Estos elementos de administración de privilegios constituyen el núcleo de la autenticación y la autorización.

En AWS, la administración de privilegios se apoya principalmente en el servicio AWS Identity and Access Management (IAM), que permite controlar el acceso de usuarios y programas a los servicios y recursos de AWS. Procure aplicar políticas granulares que asignen permisos a cada usuario, grupo, función o recurso. También puede exigir prácticas de contraseñas seguras; por ejemplo, puede establecer el nivel de complejidad, impedir la reutilización y emplear autenticación multifactor (MFA). Puede usar la federación con su servicio de directorio existente. Cuando las cargas de trabajo requieren que los sistemas tengan acceso a AWS, IAM posibilita un acceso seguro mediante la asignación de roles, perfiles de instancia, federación de identidades y credenciales temporales.

Las siguientes preguntas se centran en estas consideraciones de seguridad.

SEC 2: ¿Cómo administra las identidades de personas y máquinas?
Hay dos tipos de identidades que debe administrar cuando tenga que utilizar cargas de trabajo de AWS seguras. Entender el tipo de identidad que necesita administrar y a la que debe otorgar acceso ayuda a garantizar que las identidades adecuadas tengan acceso a los recursos correctos bajo las condiciones adecuadas. Identidades humanas: los administradores, desarrolladores, operadores y clientes finales requieren una identidad para acceder a sus aplicaciones y entornos de AWS. Estos son miembros de la organización o usuarios externos con los que colabora y que interactúan con sus recursos de AWS a través de un navegador web, una aplicación cliente o herramientas de línea de comandos interactivas. Identidades de máquinas: las aplicaciones de servicio, las herramientas operativas y las cargas de trabajo requieren una identidad para realizar solicitudes a los servicios de AWS, por ejemplo, para leer datos. Entre estas identidades se incluyen máquinas que se ejecutan en su entorno de AWS, como instancias de Amazon EC2 o funciones de AWS Lambda. También puede administrar identidades de máquinas para terceros que necesiten acceso. Además, es posible que también tenga máquinas fuera de AWS que necesiten acceso a su entorno de AWS.

SEC 2: ¿Cómo administra las identidades de personas y máquinas?

Hay dos tipos de identidades que debe administrar cuando tenga que utilizar cargas de trabajo de AWS seguras. Entender el tipo de identidad que necesita administrar y a la que debe otorgar acceso ayuda a garantizar que las identidades adecuadas tengan acceso a los recursos correctos bajo las condiciones adecuadas.

Identidades humanas: los administradores, desarrolladores, operadores y clientes finales requieren una identidad para acceder a sus aplicaciones y entornos de AWS. Estos son miembros de la organización o usuarios externos con los que colabora y que interactúan con sus recursos de AWS a través de un navegador web, una aplicación cliente o herramientas de línea de comandos interactivas.

Identidades de máquinas: las aplicaciones de servicio, las herramientas operativas y las cargas de trabajo requieren una identidad para realizar solicitudes a los servicios de AWS, por ejemplo, para leer datos. Entre estas identidades se incluyen máquinas que se ejecutan en su entorno de AWS, como instancias de Amazon EC2 o funciones de AWS Lambda. También puede administrar identidades de máquinas para terceros que necesiten acceso. Además, es posible que también tenga máquinas fuera de AWS que necesiten acceso a su entorno de AWS.

SEC 3: ¿Cómo administra los permisos de personas y máquinas?
Administre permisos para controlar el acceso a identidades de personas y de máquinas que requieran acceso a AWS y sus cargas de trabajo. Los permisos controlan quién puede acceder a qué y en qué condiciones.

Las credenciales no se deben compartir entre usuarios o sistemas. El acceso de los usuarios se debe conceder empleando un enfoque de privilegio mínimo con prácticas recomendadas, como los requisitos de contraseña y la obligatoriedad de usar MFA. El acceso programático, incluidas las llamadas a la API de los servicios de AWS, debe realizarse mediante credenciales temporales y de privilegio limitado como las emitidas por AWS Security Token Service.

AWS ofrece recursos que pueden ayudar a administrar la identidad y el acceso. Para conocer las prácticas recomendadas, explore los laboratorios prácticos sobre la administración de credenciales y autentificación, el control del acceso humanoy el control del acceso programático.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad

Detección