# SEC03-BP02 Conceder acceso con privilegios mínimos
<a name="sec_permissions_least_privileges"></a>

Conceda exclusivamente el acceso que las identidades necesitan mediante la restricción de los permisos a acciones concretas en recursos de AWS específicos en determinadas condiciones. Utilice grupos y atributos de identidad para configurar dinámicamente los permisos en función de las necesidades en lugar de configurarlos para cada usuario. Por ejemplo, puede conceder acceso a un grupo de desarrolladores para que solamente puedan administrar recursos de su proyecto. De este modo, si un desarrollador abandona el grupo, su acceso para acceder a cualquier lugar al que el grupo pudiera acceder quedará revocado sin necesidad de realizar ningún cambio en las políticas de acceso.

 **Patrones comunes de uso no recomendados:** 
+ Concesión predeterminada de permisos de administrador a los usuarios. 
+ Uso de la cuenta raíz para las actividades cotidianas. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>

El establecimiento de un principio de [privilegio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) garantiza que a las identidades solo se les permita realizar el conjunto de funciones mínimo necesario para llevar a cabo una tarea específica, a la vez que mantiene un equilibrio entre usabilidad y eficacia. Al operar según este principio, se limita el acceso involuntario y se garantiza que se pueda auditar quién tiene acceso a determinados recursos. En AWS, las identidades no tienen permisos de forma predeterminada excepto el usuario raíz. Las credenciales del usuario raíz deben estar muy controladas y solo se deben utilizar para unas pocas [tareas específicas](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). 

Las políticas se utilizan para conceder explícitamente permisos adjuntos a IAM o a entidades de recursos, como un rol de IAM que utilizan las identidades o máquinas federadas, o recursos (por ejemplo, buckets de S3). Al crear y adjuntar una política, puede especificar las acciones de servicio, los recursos y las condiciones que se deben cumplir para que AWS permita el acceso. AWS es compatible con una amplia variedad de condiciones que le ayudarán a acotar el acceso. Por ejemplo, si usa la clave de condición `PrincipalOrgID` [,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)el identificador de AWS Organizations se verifica de modo que se pueda conceder el acceso en su organización de AWS.

También puede controlar las solicitudes que realicen los servicios de AWS en su nombre, como que AWS CloudFormation cree una función de AWS Lambda, mediante la clave de condición `CalledVia` . Debe estratificar los diferentes tipos de políticas para limitar de forma eficaz los permisos generales en una cuenta. Por ejemplo, puede permitir a sus equipos de aplicaciones crear sus propias políticas de IAM, pero utilizar un [límite de permisos](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) para restringir el máximo de permisos que pueden conceder. 

Existen varias capacidades de AWS que le ayudan a escalar la administración de permisos y a cumplir el principio de privilegio mínimo. [El control de acceso basado en atributos](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) le permite limitar los permisos en función de la *[etiqueta](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* de un recurso, para tomar decisiones de autorización basadas en las etiquetas aplicadas al recurso y a la entidad principal de IAM de llamada. De este modo, podrá combinar su política de etiquetado y de permisos para conseguir un acceso detallado a los recursos sin necesidad de muchas políticas personalizadas.

Otra forma de acelerar la creación de una política de privilegio mínimo, consiste en basar su política de CloudTrail en los permisos tras la ejecución de una actividad. [IAM Access Analyzer puede generar automáticamente una política de IAM basada en la actividad](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). También puede utilizar IAM Access Advisor en una organización o una cuenta individual para [hacer un seguimiento de la información a la que se ha accedido por última vez para una política concreta](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).

Establezca una cadencia de revisión de estos detalles y elimine los permisos innecesarios. Debe establecer barreras de protección de permisos en su organización de AWS para controlar los permisos máximos en cualquier cuenta de miembro. Los servicios como [AWS Control Tower tienen controles preventivos prescriptivos administrados](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) y le permiten definir sus propios controles. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) 
+  [Techniques for writing least privilege IAM policies (Técnicas para elaborar políticas de IAM de privilegio mínimo)](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/) 
+  [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity (IAM Access Analyzer facilita la implementación de los permisos de privilegio mínimo al generar políticas de IAM basadas en la actividad de acceso)](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/) 
+  [Refining Permissions using last accessed information (Mejora de los permisos con la información del último acceso)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
+  [IAM policy types and when to use them (Tipos de políticas de IAM y cuándo utilizarlas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 
+  [Testing IAM policies with the IAM policy simulator (Prueba de las políticas de IAM con el simulador de políticas de IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) 
+  [Guardrails in AWS Control Tower (Barreras de protección en AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 
+  [Zero Trust architectures: An AWS perspective (Arquitecturas de confianza cero: una perspectiva de AWS)](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/) 
+  [How to implement the principle of least privilege with CloudFormation StackSets (Cómo implementar el principio de privilegio mínimo con CloudFormation StackSets)](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/) 

 **Vídeos relacionados:** 
+  [Next-generation permissions management (Administración de permisos de nueva generación)](https://www.youtube.com/watch?v=8vsD_aTtuTo) 
+  [Zero Trust: An AWS perspective (Confianza cero: una perspectiva de AWS)](https://www.youtube.com/watch?v=1p5G1-4s1r0) 
+  [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation? (¿Cómo puedo utilizar los límites de los permisos para restringir a los usuarios y los roles de IAM para evitar la escalada de privilegios?)](https://www.youtube.com/watch?v=omwq3r7poek) 

 **Ejemplos relacionados:** 
+  [Laboratorio: Límites de permisos de IAM para delegar la creación de roles](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)