Actividad del usuario raíz Claves de acceso para el usuario raíz MFA para el usuario raíz Prácticas recomendadas de IAM Privilegio mínimo Barreras de protección para cargas de trabajo Rotación de claves de acceso de IAM Recursos compartidos externamente

Recomendaciones de controles de seguridad para administrar identidades y accesos

Puede crear identidades en AWS una fuente de identidad externa o conectarse a ella. Mediante las políticas AWS Identity and Access Management (de IAM), se conceden a los usuarios los permisos necesarios para que puedan acceder a AWS los recursos y las aplicaciones integradas o gestionarlos. Una administración eficaz de identidades y accesos ayuda a validar que las personas y las máquinas adecuadas accedan a los recursos correctos según las condiciones adecuadas. El AWS Well-Architected Framework proporciona las mejores prácticas para administrar las identidades y sus permisos. Entre los ejemplos de prácticas recomendadas, se incluyen confiar en un proveedor de identidades centralizado y utilizar mecanismos de inicio de sesión sólidos, como la autenticación multifactor (MFA). Los controles de seguridad de esta sección pueden ayudarlo a implementar estas prácticas recomendadas.

Controles de esta sección:

Supervisión y configuración de las notificaciones de la actividad del usuario raíz
No crear claves de acceso para el usuario raíz
Activación de la MFA para el usuario raíz
Siga las prácticas recomendadas de seguridad para IAM
Concesión de permisos de privilegios mínimos
Definición de barreras de protección de permisos para cargas de trabajo
Rotación de claves de acceso de IAM a intervalos regulares
Identificación de los recursos compartidos con una entidad externa

Supervisión y configuración de las notificaciones de la actividad del usuario raíz

Al crear una por primera vez Cuenta de AWS, se comienza con una identidad de inicio de sesión única denominada usuario raíz. De forma predeterminada, el usuario raíz tiene acceso a todos los recursos y Servicios de AWS de la cuenta. Debe controlar y supervisar minuciosamente el usuario raíz y usarlo solo para tareas que requieran credenciales de usuario raíz.

Para obtener más información, consulte los siguientes recursos:

No crear claves de acceso para el usuario raíz

El usuario raíz es el usuario de Cuenta de AWS con más privilegios. Desactivar el acceso programático al usuario raíz ayuda a reducir el riesgo de exposición inadvertida de las credenciales del usuario y el consiguiente peligro que supone para el entorno de nube. Le recomendamos que cree y utilice roles de IAM como credenciales temporales para acceder a los recursos y Cuentas de AWS .

Para obtener más información, consulte los siguientes recursos:

La clave de acceso del usuario root de IAM no debería figurar en la documentación AWS Security Hub CSPM
Deleting access keys for the root user en la documentación de IAM
Roles de IAM en la documentación de IAM

Activación de la MFA para el usuario raíz

Le recomendamos que habilite varios dispositivos de autenticación multifactor (MFA) para Cuenta de AWS el usuario raíz y los usuarios de IAM. Esto eleva el nivel de seguridad de las Cuentas de AWS y puede simplificar la administración del acceso. Como un usuario raíz es un usuario con privilegios elevados que puede llevar a cabo acciones privilegiadas, es fundamental requerir MFA para este usuario raíz. Puede utilizar un dispositivo de MFA de hardware que genera un código numérico basado en el algoritmo de contraseña temporal de un solo uso (TOTP), una clave de seguridad de hardware FIDO o una aplicación de autenticación virtual.

En 2024, se requerirá la MFA para acceder al usuario raíz de cualquier usuario. Cuenta de AWS Para obtener más información, consulte Secure by Design: AWS para mejorar los requisitos de MFA en 2024 en el blog de AWS seguridad. Le recomendamos encarecidamente que amplíe esta práctica de seguridad y exija la MFA para todos los tipos de usuarios de sus AWS entornos.

Si es posible, le recomendamos que utilice un dispositivo de MFA de hardware para el usuario raíz. Una aplicación de MFA virtual podría no proporcionar el mismo nivel de seguridad que un dispositivo MFA físico. Puede utilizar MFA virtual mientras espera la aprobación o la entrega de la compra del hardware.

En situaciones en las que administras cientos de cuentas AWS Organizations, según la tolerancia al riesgo de tu organización, es posible que no sea escalable usar MFA basada en hardware para el usuario raíz de cada cuenta de una unidad organizativa (OU). En este caso, puede elegir una cuenta de la unidad organizativa que actúe como cuenta de administración de la unidad organizativa y, a continuación, desactivar el usuario raíz para las demás cuentas de la unidad organizativa. De forma predeterminada, la cuenta de administración de la unidad organizativa no tiene acceso a las otras cuentas. Al configurar un acceso entre cuentas por adelantado, podrá acceder a las otras cuentas desde la cuenta de administración de la unidad organizativa en caso de emergencia. Para configurar el acceso entre cuentas, cree un rol de IAM en la cuenta de miembro y defina políticas para que solo el usuario raíz de la cuenta de administración de la unidad organizativa pueda asumir este rol. Para obtener más información, consulte el tutorial: Delegar el acceso Cuentas de AWS mediante el uso de funciones de IAM en la documentación de IAM.

Le recomendamos que active varios dispositivos de MFA para las credenciales de usuario raíz. Puede registrar hasta ocho dispositivos de MFA de cualquier combinación.

Para obtener más información, consulte los siguientes recursos:

Asignación de un token de TOTP de hardware en la documentación de IAM
Asignación de un dispositivo de MFA virtual en la documentación de IAM
Asignación de una clave de acceso o de seguridad en la documentación de IAM
Proteja el inicio de sesión del usuario raíz con autenticación multifactor (MFA) en la documentación de IAM

Siga las prácticas recomendadas de seguridad para IAM

La documentación de IAM incluye una lista de las mejores prácticas diseñadas para ayudarle a proteger sus Cuentas de AWS recursos. Incluye recomendaciones para configurar el acceso y los permisos según el principio de privilegio mínimo. Entre los ejemplos de prácticas recomendadas de seguridad de IAM, se incluyen la configuración de la federación de identidades, la exigencia de MFA y el uso de credenciales temporales.

Para obtener más información, consulte los siguientes recursos:

Prácticas recomendadas de seguridad en IAM en la documentación de IAM
Uso de credenciales temporales con AWS los recursos de la documentación de IAM

Concesión de permisos de privilegios mínimos

El privilegio mínimo es la práctica que consiste en conceder solo los permisos necesarios para llevar a cabo una tarea. Para ello, defina las acciones que se pueden efectuar en recursos específicos en condiciones específicas.

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos, como, por ejemplo, sus etiquetas. Puede utilizar atributos de grupos, identidades y recursos para definir dinámicamente los permisos a escala en lugar de definir los permisos para usuarios individuales. Por ejemplo, puede utilizar ABAC para permitir que un grupo de desarrolladores acceda solo a los recursos que tengan una etiqueta específica asociada al proyecto.

Para obtener más información, consulte los siguientes recursos:

Aplicar permisos de privilegios mínimos en la documentación de IAM
What is ABAC for AWS en la documentación de IAM

Definición de barreras de protección de permisos para cargas de trabajo

Una práctica recomendada es utilizar una estrategia multicuenta porque proporciona flexibilidad para definir barreras de protección para cargas de trabajo. La arquitectura AWS de referencia de seguridad ofrece una guía prescriptiva sobre cómo estructurar las cuentas. Estas cuentas se administran como una organización y AWS Organizationsse agrupan en unidades organizativas (OUs).

Los Servicios de AWS, como AWS Control Tower, pueden ayudarlo a administrar de forma centralizada los controles de una organización. Le recomendamos que defina un propósito claro para cada cuenta o unidad organizativa de la organización y que aplique controles en función de ese propósito. AWS Control Tower implementa controles preventivos, de detección y proactivos que le ayudan a controlar los recursos y a supervisar el cumplimiento. Un control preventivo está diseñado para evitar que se produzca un evento. Un control de detección está diseñado para detectar, registrar y alertar después de que se produzca un evento. Un control proactivo está diseñado para evitar la implementación de recursos que no cumplan con las normas mediante el análisis de recursos antes de su aprovisionamiento.

Para obtener más información, consulte los siguientes recursos:

Separe las cargas de trabajo mediante cuentas del AWS Well-Architected Framework
AWS La arquitectura de referencia de seguridad (AWS SRA) en una guía prescriptiva AWS
Acerca de los controles AWS Control Tower en la documentación AWS Control Tower
La implementación de los controles de seguridad figura AWS en la AWS Guía prescriptiva
Utilice las políticas de control de servicios para establecer barreras de protección de permisos en todas las cuentas de su AWS organización en el blog de seguridad AWS

Rotación de claves de acceso de IAM a intervalos regulares

Una práctica recomendada es actualizar las claves de acceso para los casos de uso que requieren credenciales de larga duración. Recomendamos la rotación de claves de acceso cada 90 días o menos. La rotación de claves de acceso reduce el riesgo de que se utilice una clave de acceso asociada a una cuenta en peligro o cancelada. También impide el acceso mediante una clave antigua que podría haberse perdido o robado o estar en peligro. Actualice siempre las aplicaciones después de rotar las claves de acceso.

Para obtener más información, consulte los siguientes recursos:

Actualizar las claves de acceso cuando sea necesario para casos de uso que requieren credenciales de larga duración en la documentación de IAM
Gire automáticamente las claves de acceso de los usuarios de IAM a escala con la guía prescriptiva AWS Organizations y AWS Secrets Manager según la guía prescriptiva AWS
Actualización de las claves de acceso en la documentación de IAM

Identificación de los recursos compartidos con una entidad externa

Una entidad externa es un recurso, una aplicación, un servicio o un usuario que se encuentra fuera de su AWS organización, por ejemplo Cuentas de AWS, un usuario raíz, un usuario o rol de IAM, un usuario federado o un Servicio de AWS usuario anónimo (o no autenticado). Una práctica recomendada de seguridad es utilizar el Analizador de acceso de IAM para identificar los recursos de la organización y las cuentas, como los buckets de Amazon Simple Storage Service (Amazon S3) o los roles de IAM, que se comparten con una entidad externa. Esto lo ayuda a identificar el acceso no deseado a recursos y datos, lo que supone un riesgo para la seguridad.

Para obtener más información, consulte los siguientes recursos:

Verificar el acceso público y entre cuentas a los recursos con el Analizador de acceso de IAM en la documentación de IAM
Analice el acceso público y multicuenta en el AWS Well-Architected Framework
Uso de AWS Identity and Access Management Access Analyzer en la documentación de IAM

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Introducción

Controles de registro y supervisión