SEC02-BP05 Auditar y rotar las credenciales periódicamente

Cuando no pueda confiar en las credenciales temporales y necesite credenciales a largo plazo, audítelas para asegurarse de que los controles definidos, por ejemplo, la autenticación multifactor (MFA), se aplican, se rotan periódicamente y tienen el nivel de acceso adecuado. La validación periódica, preferiblemente mediante una herramienta automatizada, es necesaria para verificar que se apliquen los controles correctos. En el caso de las identidades humanas, debería exigir a los usuarios que cambien sus contraseñas periódicamente y retirar las claves de acceso para sustituirlas por credenciales temporales. Al pasar de los usuarios de AWS Identity and Access Management (IAM) a las identidades centralizadas, puede generar un informe de credenciales para auditar a sus usuarios de IAM. También recomendamos la aplicación de la configuración de MFA en su proveedor de identidades. Puede configurar Reglas de AWS Config para supervisar estas opciones. Para las identidades de máquinas, debería recurrir a credenciales temporales con roles de IAM. En las situaciones en las que esto no sea posible, resulta necesario auditar y rotar con frecuencia las claves de acceso.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: Mediana

Guía para la implementación

Audite periódicamente las credenciales: utilice los informes de credenciales y el Analizador de acceso de Identify and Access Management (IAM) para auditar las credenciales y los permisos de IAM.
Utilice los niveles de acceso para revisar los permisos de IAM: para mejorar la seguridad de su Cuenta de AWS, revise y supervise periódicamente cada una de sus políticas de IAM. Asegúrese de que sus políticas conceden el privilegio mínimo necesario para realizar solo las acciones necesarias.
- Utilizar los niveles de acceso para revisar los permisos de IAM

Considere la posibilidad de automatizar la creación y las actualizaciones de los recursos de IAM: AWS CloudFormation se puede utilizar para automatizar el despliegue de los recursos de IAM, como los roles y las políticas, a fin de reducir los errores humanos, ya que las plantillas pueden verificarse y controlarse las versiones.
- Laboratorio: Despliegue automatizado de grupos y roles de IAM

Recursos

Documentos relacionados:

Vídeos relacionados:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC02-BP04 Recurrir a un proveedor de identidades centralizado

SEC02-BP06 Aprovechar los grupos y atributos de usuarios