View a markdown version of this page

Control del acceso a la consola con políticas basadas en recursos y políticas de control de recursos - AWS Sign-In

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control del acceso a la consola con políticas basadas en recursos y políticas de control de recursos

importante

El acceso al inicio de sesión de la consola está habilitado de forma predeterminada. AWS Sign-In permite inicialmente el acceso sin restricciones a la consola. Para añadir restricciones, habilite la configuración de autorización de la consola para su cuenta u organización. Las declaraciones de permisos de recursos que cree no surtirán efecto hasta que habilite la autorización de la consola. Consulte Cómo empezar con el control de acceso a la consola mediante políticas de recursos.

AWS Sign-In admite políticas basadas en recursos y políticas de control de recursos (RCP) para controlar el acceso. AWS Sign-In Utilice estas políticas para verificar la identidad del usuario y la ubicación de la red durante el Consola de administración de AWS acceso: antes, durante y después de la autenticación. En el caso de los usuarios raíz, estas políticas validan la ubicación de la red y la identidad del usuario antes de que comience la recopilación de credenciales. Las credenciales solo se pueden introducir cuando el acceso se origina en las redes esperadas.

AWS Sign-In políticas basadas en recursos:

  • Se aplican a cuentas individuales AWS .

  • Permita que los administradores de cuentas restrinjan el acceso a la consola en función de los parámetros de la red y las identidades principales.

Políticas de control de recursos (RCP):

  • Realice su solicitud en toda la organización a través de AWS Organizations.

  • Proporcione un gobierno centralizado en todas las cuentas de los miembros.

Ambos tipos de políticas verifican el acceso antes de la autenticación. Esto impide que los directores accedan a la página de inicio de sesión desde redes inesperadas.

Estas políticas no sustituyen a las políticas de IAM basadas en la identidad, que siguen aplicándose.

nota

Para obtener la documentación completa sobre las políticas de control de recursos, incluidas la configuración y la administración a nivel de la organización, consulte las políticas de control de recursos en la Guía del usuario de AWS Organizations. Esta sección se centra principalmente en las políticas basadas en los AWS Sign-In recursos.

AWS Sign-In las políticas basadas en recursos y las RCP se aplican a los siguientes métodos de autenticación:

  • Consola de administración de AWS— Inicio de sesión directo mediante la página de inicio de sesión de la consola.

  • AWS IAM Identity Center: inicio de sesión en la consola mediante IAM Identity Center.

  • Proveedores de identidad federados: Sign-in mediante la federación SAML o OIDC.

  • Aplicaciones integradas con AWS Sign-In: Amazon Connect, Amazon QuickSight, AWS Health Dashboard, Amazon AppStream, Amazon Lightsail y AWS IQ.

Estos controles no se aplican al acceso programático mediante claves de acceso (AWS SDK o llamadas a la API firmadas con SiGv4).

Cómo AWS Sign-In evalúa las políticas basadas en los recursos

AWS Sign-In evalúa las políticas basadas en recursos o las políticas de control de recursos (RCP) aplicables en dos momentos durante el acceso a la consola: antes de la autenticación (la fase previa a la autenticación) y después de una autenticación correcta (la fase posterior a la autenticación). Cada evaluación comprueba las claves de condición definidas en su política. Las claves disponibles dependen de la fase y la acción. Para obtener más información, consulte Claves de condición admitidas.

nota

Al iniciar sesión como usuario root, se bloquea cualquier intento de acceso desde redes inesperadas antes de que aparezca la solicitud de contraseña. Esto impide el envío de credenciales desde redes inesperadas.

Tras la autenticación, la evaluación también considera las políticas del director basadas en la identidad. Una política de IAM que deniegue la acción de inicio de sesión correspondiente puede impedir que se conceda la sesión de consola, incluso cuando se cumplan las condiciones de la red.

Acciones admitidas

AWS Sign-In las políticas de recursos (políticas basadas en recursos y RCP) admiten las siguientes acciones:

signin:Authenticate

Se trata de una acción únicamente de evaluación (no exigible) que se evalúa cuando se recibe una solicitud de inicio de sesión. Se trata de una comprobación previa a la autenticación y se realiza cuando el director introduce las credenciales en la página de inicio de sesión (usuario raíz, usuario de IAM) o inicia el inicio de sesión en la consola con las credenciales de un proveedor de identidad o de AWS STS (usuario federado, rol).

Claves de condición compatibles:aws:SourceIp,,,,. aws:SourceVpc aws:SourceVpce aws:VpcSourceIp aws:RequestedRegion signin:PrincipalArn

Principal-based Las claves de condición globales (aws:PrincipalArn,aws:PrincipalAccount) no están disponibles para esta acción porque aún no se ha confirmado la identidad del usuario.

signin:AuthorizeOAuth2Access

Se utiliza para la generación del código de autorización de OAuth. Tras una autenticación correcta, esta acción se activa cuando el sistema genera un código de autorización de OAuth. En este punto, el usuario se autentica y están disponibles las claves de condición basadas en el código principal.

Claves de condición compatibles:aws:SourceIp,,aws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion. aws:PrincipalArn aws:PrincipalAccount

signin:CreateOAuth2Token

Esta acción posterior a la autenticación se utiliza para crear e intercambiar el token de OAuth. Esta acción se activa al canjear códigos de autorización por fichas de acceso, al actualizar las fichas o al realizar operaciones de intercambio de fichas. Principal-based las claves de condición están disponibles durante esta fase.

Claves de condición compatibles: aws:SourceIpaws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion,aws:PrincipalArn,aws:PrincipalAccount.

importante

Al crear AWS Sign-In políticas (políticas basadas en recursos o RCP), incluya las tres acciones de la política: signin:Authenticate en una declaración previa a la autenticación signin:AuthorizeOAuth2Access y signin:CreateOAuth2Token en una declaración posterior a la autenticación. El inicio de sesión en la consola utiliza OAuth 2.0, que recorre las tres acciones de forma secuencial. Si tu política omite una acción, la fase correspondiente no está protegida. Para ver las acciones de política de puntos finales de la VPCsignin:CreateAccount, consulte Acceso privado a la consola de administración de AWS.

Claves de condición admitidas

AWS Sign-In admite las siguientes claves de condición en las políticas basadas en recursos y en las políticas de control de recursos (RCP). Utilice estas teclas para controlar el acceso a la consola en función de la ubicación de la red y la identidad principal:

  • Network-based (todas las acciones):aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion.

  • Identity-based (acciones posteriores a la autenticación):aws:PrincipalArn,aws:PrincipalAccount.

  • Service-specific (solo autenticación previa):. signin:PrincipalArn

Para ver las reglas de uso detalladas, la compatibilidad de los operadores, las restricciones de combinación y la matriz de disponibilidad por acción, consulteAWS Sign-In referencia de claves de condición.

Cómo empezar con el control de acceso a la consola mediante políticas de recursos

Requisitos previos

importante

Antes de habilitar la autorización de la consola en producción, se AWS recomienda configurar al menos un principal excluido para mantener el acceso de recuperación de emergencia. Todos los usuarios principales, incluido el usuario root, están sujetos a la política, a menos que se excluyan explícitamente. Los directores excluidos son opcionales, pero omitirlos aumenta el riesgo de bloqueo de la cuenta si las condiciones de la red cambian inesperadamente.

Especifique todas las operaciones --region us-east-1 de escritura en las políticas. AWS Sign-In AWS replica las políticas de esta región a nivel mundial. Las operaciones de lectura pueden dirigirse a cualquier región.

Paso 1: Crear declaraciones de permiso de recursos

Cree declaraciones de permiso que definan sus controles de acceso. Todas las operaciones de escritura --region us-east-1 son obligatorias (el AWS Sign-In servicio solo acepta cambios de política en esta región). Los parámetros restantes (--source-vpc,--source-ip,--requested-region,--excluded-principal) definen las condiciones de su política. Por ejemplo, --requested-region us-west-2 añade una condición que restringe el inicio de sesión en el punto final de inicio de sesión regional us-west-2.

Ejemplo: restringir el acceso a la VPC corporativa:

aws signin put-resource-permission-statement \ --source-vpc vpc-0abc123def456789 \ --requested-region us-west-2 \ --excluded-principal "arn:aws:iam::123456789012:user/EmergencyAdmin" \ --client-token unique-request-id-12345 \ --region us-east-1

Ejemplo: restringir el acceso a un rango de IP específico:

aws signin put-resource-permission-statement \ --source-ip "IP_ADDRESS" \ --excluded-principal "arn:aws:iam::123456789012:role/BreakGlassRole" \ --region us-east-1
nota

El --excluded-principal parámetro designa un principal excluido que elude las restricciones de la red y preserva el acceso de emergencia en caso de que cambien las condiciones de la red.

Paso 2: Habilitar la configuración de autorización de la consola

El siguiente paso activa la aplicación de políticas para el proceso de inicio de sesión en la consola en su cuenta u organización. Las declaraciones de permisos de recursos se pueden crear en cualquier momento, pero no se evalúan hasta que se habilita la autorización de la consola.

aviso

Si se habilita la autorización de la consola, se pueden bloquear las entidades principales si las condiciones de la red están mal configuradas o si una política de control de servicios (SCP) o una política de control de recursos (RCP) existentes deniegan dichas acciones. AWS Sign-In Antes de activar la autorización de la consola, confirme que sus declaraciones de permiso son correctas y elimine o ajuste cualquier SCP o RCP que la deniegue, o. signin:Authenticate signin:AuthorizeOAuth2Access signin:CreateOAuth2Token

Para cuentas independientes:

aws signin put-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1

Para AWS Organizations:

aws signin put-console-authorization-configuration \ --target-id <your-aws-organization-id> \ --region us-east-1

Verifique la configuración:

aws signin get-console-authorization-configuration \ --target-id <your-target-id> \ --region <your-region>

Elimine la configuración de autorización de la consola:

aws signin delete-console-authorization-configuration \ --target-id <your-target-id> \ --region us-east-1

Paso 3: Verifica tu política

Enumere todas las declaraciones de permiso:

aws signin list-resource-permission-statements \ --max-results 50 \ --region <your-region>

Recupere la política consolidada completa:

aws signin get-resource-policy \ --region <your-region>

El get-resource-policy comando devuelve la política completa basada en los recursos, compuesta por todas las declaraciones de permiso. Revise esta política para confirmar que refleja los controles de acceso previstos antes de probar el acceso a la consola.

Disponibilidad regional

Las API de autorización de consolas están disponibles en todas las regiones AWS comerciales. Puede llamar a estas API desde cualquier región en la que opere.

importante

Las operaciones de escritura (put-console-authorization-configurationput-resource-permission-statement,delete-console-authorization-configuration,,delete-resource-permission-statement) se deben realizar en la us-east-1 región. Las políticas creadas en us-east-1 se replican automáticamente a nivel mundial. Las operaciones de lectura (get-console-authorization-configurationlist-resource-permission-statements,,get-resource-policy) se pueden realizar desde cualquier región.

Comprender la estructura de las políticas

AWS Sign-In las políticas contienen dos declaraciones que protegen las distintas fases del flujo de inicio de sesión en la consola:

  • Pre-authentication declaración (Acción:signin:Authenticate): se evalúa cuando se recibe la solicitud de inicio de sesión, antes de que se complete la autenticación. La clave global no aws:PrincipalArn está disponible en esta fase porque la identidad del principal no está confirmada. En esta fase signin:PrincipalArn está disponible para eximir a directores específicos de las restricciones de la red. Network-based Las claves de condición están disponibles para su evaluación en esta fase.

  • Post-authentication declaración (Acción:signin:AuthorizeOAuth2Access,signin:CreateOAuth2Token): se evalúa después de la autenticación, durante el intercambio del token de OAuth. Se usa aws:PrincipalArn para eximir a directores específicos. Todas las claves de condición basadas en la red y en la identidad están disponibles para su evaluación en esta fase.

Ambas declaraciones son obligatorias porque el inicio de sesión en la consola utiliza OAuth 2.0, que realiza las tres acciones de forma secuencial. Una política con una sola declaración deja desprotegida la otra fase. signin:PrincipalArnadmite los tipos principales de usuario root, usuario de IAM y rol. aws:PrincipalArnadmite todos los tipos principales (usuario root, usuario de IAM, usuario federado, rol).

Ejemplos de políticas

Ejemplo 1: RCP con perímetro de red y principales excluidos

La siguiente política de control de recursos (RCP) deniega el Consola de administración de AWS inicio de sesión desde fuera de la red corporativa en todas las cuentas de la organización. Los directores excluidos designados están exentos del acceso de emergencia. Dado que los ID de VPC son únicos solo dentro de una región, la política incluye una tercera declaración que fija el VPC-based acceso a la región esperada.

La EnforceNetworkPerimeterPreAuth declaración se utiliza signin:PrincipalArn para eximir a los directores excluidos durante la fase previa a la autenticación. La EnforceNetworkPerimeterPostAuth declaración se utiliza aws:PrincipalArn para eximir a los directores excluidos después de la autenticación. La EnforceSourceVPCRegion declaración garantiza que la región de la solicitud coincida con la región de la VPC, lo que restringe el acceso a la región esperada para la VPC especificada.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceNetworkPerimeterPreAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceNetworkPerimeterPostAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceSourceVPCRegion", "Effect": "Deny", "Principal": "*", "Action": [ "signin:Authenticate", "signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "<my-vpc>" }, "StringNotEqualsIfExists": { "aws:RequestedRegion": "<my-vpc-region>" } } } ] }

Esta política:

  • Denega el acceso a la página de inicio de sesión a menos que la solicitud se origine en el rango de IP corporativas o en la VPC corporativa. Las cuentas raíz excluidas y los usuarios de IAM están exentos mediante la autenticación previa. signin:PrincipalArn

  • Denega el intercambio de token de OAuth a menos que provenga del rango de IP corporativas o de una VPC. Las cuentas raíz, los usuarios de IAM y los roles excluidos están exentos mediante aws:PrincipalArn la clave global posterior a la autenticación.

  • Si una solicitud proviene de la VPC especificada pero la región no coincide, se deniega el acceso. AWS Los ID de VPC son únicos dentro de una región y el mismo ID de VPC puede existir en diferentes regiones.

  • Se aplica a nivel mundial en toda su organización de AWS cuando se configura como RCP.

Ejemplo 2: Resource-based política de IP-based acceso con principal excluido

La siguiente política basada en los recursos deniega el acceso a la consola a todos los principales que realicen solicitudes desde fuera del rango de IP especificado, con la excepción del principal excluido. La política contiene dos declaraciones: una declaración previa a la autenticación que utiliza la signin:PrincipalArn clave específica del servicio y una declaración posterior a la autenticación que utiliza la clave global. aws:PrincipalArn

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } } ] }

Esta política:

  • Niega el acceso a todos los principales a menos que se conecten desde el rango de IP. <my-corporate-cidr>

  • Exime al principal excluido de las restricciones de uso de la red signin:PrincipalArn (autenticación previa) y aws:PrincipalArn (posterior a la autenticación).

  • Se aplica solo a la cuenta específica en la que está configurada la política basada en recursos (identificada por). <my-aws-account-id>

Prácticas recomendadas

Configure los principales excluidos para el acceso de recuperación de emergencia

AWS recomienda configurar al menos un usuario excluido antes de aplicar las políticas de autorización de la consola en producción. En la fase previa a la autenticación, la clave de signin:PrincipalArn condición exime al usuario raíz, al usuario de IAM y a los directores de rol. En la fase posterior a la autenticación, la clave de aws:PrincipalArn condición exime a todos los tipos principales (usuario raíz, usuario de IAM, usuario federado, rol).

Los principales excluidos son opcionales, pero omitirlos aumenta el riesgo de bloqueo de la cuenta si las condiciones de la red cambian inesperadamente o si las políticas están mal configuradas.

Pasos de configuración recomendados para el principal excluido:

  1. Cree una función de IAM excluida (por ejemplo,). BreakGlassRole

  2. Para las funciones excluidas, exija el MFA en la política de confianza de funciones.

  3. Otorgue a la identidad excluida solo los permisos mínimos necesarios para la recuperación de emergencia.

  4. Incluya el ARN principal excluido en las declaraciones de política de autenticación previa (signin:PrincipalArn) y posterior a la autenticación (aws:PrincipalArn).

  5. Documente el procedimiento de recuperación y guárdelo de forma segura en el exterior. AWS

  6. Pruebe periódicamente el acceso principal excluido para confirmar que funciona cuando sea necesario.

Mantenga las rutas de acceso de recuperación

Además del principio excluido descrito anteriormente, asegúrese de que haya métodos de acceso alternativos en caso de que las políticas de autorización de la consola bloqueen el inicio de sesión de forma inesperada:

  • Role-based Acceso programático: las políticas de autorización de la consola se aplican únicamente al inicio de sesión interactivo en la consola. No se aplican a las solicitudes de API firmadas con SiGv4. Si tienes acceso mediante programación (por ejemplo, claves de acceso existentes o un rol multicuenta), úsalo para invocar la política de restricción signin:DeleteConsoleAuthorizationConfiguration y eliminarla. Las credenciales deben incluir el signin:DeleteConsoleAuthorizationConfiguration permiso (incluido en la política AWSSignInResourcePolicyManagement gestionada). AWS recomienda las credenciales temporales en lugar de las claves de acceso de los usuarios de IAM a largo plazo. OrganizationAccountAccessRoleEn el caso de las cuentas de miembros, los administradores de las cuentas de administración pueden utilizar la cuenta de miembro (aws sts assume-role) para obtener estas credenciales temporales.

  • AWS soporte de recuperación: mantenga actualizados el correo electrónico y el número de teléfono de su cuenta de usuario raíz. Si el acceso principal excluido y el acceso programático no están disponibles, AWS Support puede proporcionar un enlace al portal de recuperación tras la verificación de identidad. Consulte Se bloquea el acceso a mi cuenta después de activar la autorización de la consola para ver el proceso de recuperación completo.

Realice pruebas antes del despliegue en producción

AWS recomienda no adjuntar RCP restrictivos a la raíz de la organización sin comprobar exhaustivamente el impacto que la política tiene en las cuentas. En su lugar, cree una unidad organizativa a la que pueda mover sus cuentas de una en una, o al menos en pequeñas cantidades, para asegurarse de no bloquear inadvertidamente el acceso de los usuarios a las cuentas clave.

Flujo de trabajo de pruebas:

  1. Cree una declaración de permiso única con las restricciones de su red principal.

  2. Habilita la autorización de la consola en una cuenta que no sea de producción.

  3. Pruebe el acceso a la consola desde las redes permitidas y denegadas.

  4. Revisa CloudTrail los registros de Amazon para confirmar el comportamiento de evaluación de las políticas.

  5. Pruebe el acceso con su principal excluido.

  6. Amplíe gradualmente a redes y cuentas adicionales.

  7. Supervise antes de implantar las cuentas de producción.

Diseñe con una defensa en profundidad

Utilice las políticas AWS Sign-In basadas en los recursos y las políticas de control de los recursos como una capa dentro de una estrategia de seguridad más amplia. AWS Sign-In las políticas restringen el acceso a la consola en función de la ubicación de la red y la identidad principal. Combínelas con otros tipos de políticas para crear controles de acceso integrales:

  • AWS Sign-In políticas (políticas basadas en recursos y RCP): restrinjan el acceso a la consola en función de la ubicación de la red y la identidad principal antes, durante y después de la autenticación.

  • Políticas de IAM: controlan las acciones que pueden realizar los usuarios después de iniciar sesión.

  • Políticas de control de servicios (SCP): aplican barreras de permisos en toda la organización a todas las entidades principales.

  • Políticas de puntos de enlace de VPC: controle a qué servicios y cuentas se puede acceder a través de puntos de enlace de VPC.

Supervise y audite continuamente

AWS CloudTrail registra automáticamente todas las evaluaciones AWS Sign-In de políticas y los cambios de configuración. Vea estos eventos en el historial de CloudTrail eventos durante un máximo de 90 días. Para una retención más prolongada, envíe los eventos a Amazon S3 mediante la creación de una ruta (consulte Creación de una ruta). Para recibir alertas en tiempo real, crea EventBridge reglas de Amazon que coincidan con AWS Sign-In los eventos, configura tu ruta para que se entregue a un grupo de CloudWatch registros para las alarmas basadas en filtros de métricas o reenvía los eventos a tu solución SIEM existente.

Casos de uso

Control del perímetro de la red

Restrinja el acceso a la consola a las VPC corporativas o a los rangos de IP aprobados. Utilice políticas basadas en recursos para cuentas individuales o políticas de control de recursos (RCP) para aplicarlas en toda la organización y garantizar que los usuarios solo puedan iniciar sesión desde ubicaciones de red confiables, lo que evitará el acceso no autorizado desde redes públicas o que no sean de confianza.

Ejemplo de escenario: una empresa exige que todo el acceso a la consola provenga de su red corporativa o de VPC aprobadas. AWS Configuran una política basada en los recursos para una sola cuenta, o un RCP en toda la organización, que deniega el acceso desde todas las demás redes y, al mismo tiempo, mantiene el acceso de recuperación de emergencia para los administradores de emergencia.

Requisitos de conformidad

Cumpla con los requisitos reglamentarios para los controles de acceso basados en la red. Muchos marcos de cumplimiento exigen que las organizaciones restrinjan el acceso a los sistemas confidenciales en función de la ubicación de la red. AWS Sign-In las políticas proporcionan controles auditables y aplicables que demuestran el cumplimiento de estos requisitos.

Ejemplo de escenario: una empresa de servicios financieros debe cumplir con las normas que exigen el acceso a la consola únicamente desde redes aprobadas. Utilizan los RCP para hacer cumplir las restricciones de red en toda la organización y mantener AWS CloudTrail los registros como prueba del cumplimiento.

Multi-account gobernanza

Implemente políticas de acceso a la consola coherentes en AWS Organizations. Utilice los RCP para hacer cumplir las restricciones de red estándar en todas las cuentas de los miembros, garantizando una postura de seguridad uniforme sin necesidad de una configuración individual a nivel de cuenta.

Ejemplo de escenario: una empresa con más de 100 AWS cuentas utiliza los RCP para aplicar una política que exige que todo el acceso a la consola se origine desde los puntos finales de VPC de su organización, lo que confirma la coherencia de los controles de red en todas las cuentas.

Third-party control de acceso

Conceda acceso temporal a la consola a socios o contratistas de redes específicas. Las organizaciones pueden crear un acceso a la consola por tiempo limitado y restringido por la red para terceros sin comprometer la postura general de seguridad.

Ejemplo de escenario: una empresa debe conceder a una consultora un acceso temporal a la consola. Crean una política basada en los recursos que permite el acceso solo desde los rangos de IP conocidos de la consultora y solo para las funciones de IAM asignadas a los consultores.

Restrinja el acceso a la consola a entidades principales específicas

Permita que solo un conjunto definido de directores inicie sesión en ella y deniegue a todos los demás Consola de administración de AWS, independientemente de la ubicación de la red. Esto resulta útil para los clientes que no utilizan puntos de conexión de VPC y desean restricciones de consola basadas en la identidad. Los directores a los que se deniega el inicio de sesión en la consola conservan su acceso mediante programación; AWS Sign-In las políticas solo limitan el inicio de sesión en la consola y solo los directores a los que se exima pueden iniciar sesión.

Escenario de ejemplo: una empresa quiere que solo sus administradores usen la consola. Configuran un RCP que deniega el inicio de sesión en la consola a todos los principales, excepto a los ARN principales del administrador. Un rol de instancia de Amazon EC2 con credenciales válidas no puede iniciar sesión en la consola porque no es un principal exento, aunque conserva sus permisos de programación. Esto resuelve el caso habitual en el que las credenciales de rol de instancia se utilizan para iniciar sesión en la consola.

Solución de problemas con el control de acceso a

No puedo iniciar sesión debido a las condiciones de la red en las políticas Sign-in basadas en recursos

Es posible que veas uno de los siguientes mensajes de error cuando una AWS Sign-In política deniega el acceso:

  • «La información de autenticación es incorrecta. Inténtelo de nuevo». (denegación de la autenticación previa mediante una política basada en los recursos)

  • «Error de autenticación, solicitud no válida» (denegación de autenticación previa por parte del RCP)

  • «Error de autenticación: para acceder a esta cuenta, inicie sesión desde una red diferente o póngase en contacto con el administrador para obtener más información» (denegación posterior a la autenticación)

Si ve alguno de estos errores y cree que debería permitirse el acceso, póngase en contacto con su AWS administrador. Pueden revisar CloudTrail los registros para ver si hay ConsoleLogin eventos con las errorMessage palabras «Autorización denegada debido a una política basada en recursos» o «Autorización denegada debido a una política de control de recursos» para identificar qué declaración de política denegó el acceso.

Causas posibles:

  • La dirección IP de origen no se encuentra en el rango de CIDR permitido.

  • No está conectado a la VPC o al punto final de VPC requerido.

  • Está accediendo a un punto final de inicio de sesión regional que no coincide con la región prevista en la política.

  • Su ARN principal no aparece correctamente en los principales excluidos de la póliza.

  • La política se actualizó recientemente y el cambio aún no se ha aplicado a nivel mundial.

Solución:

  • Compruebe que está conectado a la red corporativa o a la VPN.

  • Confirme que está accediendo a través del punto de enlace de la VPC correcto si están configuradas las restricciones basadas en el punto de enlace de la VPC.

  • Póngase en contacto con el AWS administrador para verificar la configuración de la política y confirmar qué redes están autorizadas.

  • Si está configurado como principal excluido, compruebe que su ARN principal esté correctamente configurado en la lista de principales excluidos.

  • Si se han realizado cambios en la política recientemente, espere unos minutos hasta que se complete la replicación global.

Para los administradores que estén diagnosticando este problema:

  • Revise AWS CloudTrail los registros de los eventos de evaluación de políticas para identificar qué declaración de política denegó el acceso.

  • Se utiliza aws signin get-resource-policy para revisar la configuración de la política actual.

  • Compruebe que la ubicación de red del usuario coincide con las condiciones de la política.

  • Confirme que los principales excluidos estén configurados correctamente si el usuario debe estar exento de las restricciones de la red.

Se bloquea el acceso a mi cuenta después de activar la autorización de la consola

Si configuraste la autorización de la consola y ya no puedes acceder a tu cuenta, es posible que no hayas configurado las entidades excluidas antes de aplicar la política.

Existen varias rutas para recuperar el acceso, según el tipo de cuenta y las credenciales disponibles.

Opción 1: usar el acceso programático (AWS CLI o SDK)

Las políticas de autorización de la consola se aplican únicamente al inicio de sesión en la consola interactiva. No se aplican a las solicitudes de API firmadas con SiGv4. Si tienes acceso mediante programación (por ejemplo, claves de acceso existentes o un rol multicuenta), úsalo para invocar la política de restricción signin:DeleteConsoleAuthorizationConfiguration y eliminarla. Las credenciales que utilice deben tener permiso para llamar. signin:DeleteConsoleAuthorizationConfiguration La política AWSSignInResourcePolicyManagement gestionada incluye este permiso. AWS recomienda las credenciales temporales en lugar de las claves de acceso de los usuarios de IAM a largo plazo. OrganizationAccountAccessRoleEn el caso de las cuentas de los miembros, los administradores de las cuentas de administración pueden utilizar la cuenta del miembro para obtener credenciales temporales. Este rol no se crea automáticamente en las cuentas que fueron invitadas a unirse a la organización.

aws signin delete-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1

O elimina declaraciones de permiso específicas:

# First, list statements to get the statement ID aws signin list-resource-permission-statements \ --region us-east-1 # Then delete the problematic statement aws signin delete-resource-permission-statement \ --statement-id <statement-id> \ --region us-east-1

Opción 2: Contactar con AWS Support

Si no tiene acceso programático y no puede usarlo OrganizationAccountAccessRole para acceder a la cuenta, póngase en contacto con AWS Support para iniciar el proceso de recuperación del bloqueo.

El proceso de recuperación funciona de la siguiente manera:

  1. Si no puede resolver el problema con las opciones anteriores, abra un caso de soporte en el AWS Support Center. AWS Support verificará tu identidad antes de examinar tu cuenta. Los métodos de verificación pueden incluir confirmar la dirección de correo electrónico de la cuenta raíz del usuario, responder a una llamada telefónica de verificación o responder a las preguntas de seguridad de la cuenta.

  2. AWS Support confirma que el problema de acceso a la consola se debe a un bloqueo de políticas basado en los recursos.

  3. AWS Support comparte un enlace al portal de recuperación. Utilice este enlace para iniciar sesión con un responsable de IAM en la cuenta que tenga el signin:DeleteConsoleAuthorizationConfiguration permiso. Este permiso permite al director eliminar la configuración de autorización de la consola que provoca el bloqueo.

importante

El portal de recuperación elimina toda la configuración de autorización de la consola de la cuenta, incluidas todas las declaraciones de permisos de los recursos. El portal de recuperación no permite la reconfiguración de las políticas basadas en AWS Sign-In recursos.

El enlace al portal de recuperación caduca 72 horas después de que AWS Support lo comparta. Si no completa la recuperación dentro de ese período, póngase en contacto con AWS Support para reiniciar el proceso.

Tras recuperar el acceso:

  • Revise y actualice sus declaraciones de permisos de recursos para incluir los principales excluidos configurados correctamente.

  • Pruebe el acceso a la consola desde las redes esperadas antes de volver a habilitar la autorización de la consola.

  • Documente sus procedimientos de recuperación para consultarlos en el futuro.

Los cambios que realizo no están siempre visibles inmediatamente

Los cambios de política se replican a nivel mundial, pero la replicación puede tardar unos minutos.

Solución:

  • Espere unos minutos después de realizar los cambios de política para que se complete la replicación global.

  • Verifique los cambios mediante el get-resource-policy comando:

aws signin get-resource-policy --region <your-region>
  • Compruebe AWS CloudTrail los registros de eventos de evaluación de políticas para confirmar que se está evaluando la nueva política.

  • Confirme que está utilizando la región correcta para sus operaciones (las operaciones de escritura deben utilizarus-east-1).

  • Si utiliza condiciones basadas en puntos de enlace de VPC, compruebe que las políticas de puntos de enlace de VPC también estén configuradas correctamente.

Problemas comunes de replicación de políticas:

  • Página de inicio de sesión en caché: los navegadores pueden almacenar en caché la página de inicio de sesión. Borra la memoria caché del navegador o usa una ventana de incógnito para probar los cambios en las políticas.

  • Declaraciones contradictorias: si tiene varias declaraciones de permiso, confirme que no entren en conflicto entre sí. Se utiliza get-resource-policy para revisar la política consolidada.

  • Políticas de punto final de VPC: las AWS Sign-In políticas funcionan en conjunto con las políticas de punto final de VPC. Ambas deben permitir el acceso deseado.