# SEC 2 ¿Cómo administra la autenticación para personas y máquinas?
Hay dos tipos de identidades que debe administrar cuando tenga que utilizar cargas de trabajo de AWS seguras. Entender el tipo de identidad que necesita para administrar y otorgar acceso ayuda a que las identidades adecuadas tengan acceso a los recursos correctos bajo las condiciones adecuadas.
Identidades humanas: los administradores, desarrolladores, operadores y clientes finales requieren una identidad para acceder a sus aplicaciones y entornos de AWS. Estos son miembros de la organización o usuarios externos con los que colabora y que interactúan con sus recursos de AWS a través de un navegador web, una aplicación de cliente o herramientas de línea de comandos interactivas.
Identidades de máquinas: las aplicaciones de servicio, herramientas operativas y cargas de trabajo requieren una identidad para realizar solicitudes a los servicios de AWS, por ejemplo, para leer datos. Entre estas identidades se incluyen máquinas que se ejecutan en el entorno de AWS, como, por ejemplo, instancias Amazon EC2 o funciones de AWS Lambda. También puede administrar identidades de máquinas para terceros que necesiten acceso. Además, es posible que también tenga máquinas fuera de AWS que necesiten acceso al entorno de AWS.
**Topics**
+ [SEC02-BP01 Usar mecanismos de inicio de sesión sólidos](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Usar credenciales temporales](sec_identities_unique.md)
+ [SEC02-BP03 Almacenar y usar secretos de forma segura](sec_identities_secrets.md)
+ [SEC02-BP04 Recurrir a un proveedor de identidades centralizado](sec_identities_identity_provider.md)
+ [SEC02-BP05 Auditar y rotar las credenciales periódicamente](sec_identities_audit.md)
+ [SEC02-BP06 Aprovechar los grupos y atributos de usuarios](sec_identities_groups_attributes.md)
# SEC02-BP01 Usar mecanismos de inicio de sesión sólidos
Exija una longitud mínima para las contraseñas y eduque a sus usuarios para que eviten las contraseñas comunes o reutilizadas. Aplique la autenticación multifactor (MFA) con mecanismos de software o hardware para proporcionar una capa de verificación adicional. Por ejemplo, al usar IAM Identity Center como origen de sus identidades, configure el ajuste “consciente del contexto” o “siempre activado” para la MFA, y permita a los usuarios que utilicen sus propios dispositivos para la MFA y, así, acelerar la adopción. Al utilizar un proveedor de identidades (IdP) externo, configure su IdP para la MFA.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Cree una política de identificación y administración de accesos (IAM) para exigir el inicio de sesión con MFA: cree una política de IAM administrada por el cliente que prohíba todas las acciones de IAM, excepto las que permitan a un usuario asumir roles, cambiar sus credenciales y gestionar sus dispositivos de MFA en la [página Mis credenciales de seguridad](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1).
+ Active la MFA en su proveedor de identidades: active la [MFA](https:/aws.amazon.com/iam/details/mfa) en el proveedor de identidades o el servicio de inicio de sesión único, como [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), que vaya a utilizar.
+ Configure una política de contraseña segura: configure una [política de contraseñas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) segura en IAM y en los sistemas de identidad federada para protegerse contra ataques de fuerza bruta.
+ [Rotar las credenciales con frecuencia](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): asegúrese de que los administradores de su carga de trabajo cambien sus contraseñas y claves de acceso (si las usan) con frecuencia.
## Recursos
**Documentos relacionados:**
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [Soluciones de socios de seguridad: acceso y control de acceso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Videos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
+ [Administración de permisos de usuarios a escala con IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Dominar la identidad en cada piso de la tarta](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Usar credenciales temporales
Exija identidades para adquirir dinámicamente [credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Para las identidades de la fuerza de trabajo, utilice AWS IAM Identity Center o la federación con roles de AWS Identity and Access Management (IAM) para acceder a Cuentas de AWS. Para las identidades de máquinas, como las instancias de Amazon Elastic Compute Cloud (Amazon EC2) o las funciones AWS Lambda, se requiere el uso de roles de IAM en lugar del de usuarios de IAM con claves de acceso a largo plazo.
Para las identidades humanas que utilicen la Consola de administración de AWS, se requiere que los usuarios adquieran credenciales temporales y se federen en AWS. Puede hacer esto utilizando el portal de usuarios de AWS IAM Identity Center. Para usuarios que requieran acceso a la CLI, asegúrese de que usen la [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), que es compatible con la integración directa con IAM Identity Center. Los usuarios pueden crear perfiles de la CLI vinculados con cuentas y roles de IAM Identity Center. La CLI recupera automáticamente credenciales de AWS de IAM Identity Center y las actualiza en su nombre. Esto elimina la necesidad de copiar y pegar credenciales temporales de AWS desde la consola de IAM Identity Center. Para el SDK, los usuarios deben confiar en que AWS Security Token Service (AWS STS) asuma roles para recibir credenciales temporales. En determinados casos, las credenciales temporales podrían no resultar prácticas. Debe ser consciente de los riesgos de almacenar claves de acceso, rotarlas con frecuencia y exigir la autenticación multifactor (MFA) como condición siempre que sea posible. Use la información a la que se haya accedido por última vez para determinar cuándo rotar o eliminar claves de acceso.
En los casos en los que necesite conceder a los consumidores acceso a sus recursos de AWS, utilice grupos de identidades de [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) y asígneles un conjunto de credenciales temporales con privilegios limitados para acceder a sus recursos de AWS. Los permisos para cada usuario se controlan mediante [roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que cree. Puede definir reglas para elegir el rol para cada usuario en función de las reclamaciones del token de ID del usuario. Puede definir un rol predeterminado para los usuarios autenticados. También puede definir un rol de IAM separado con permisos limitados para los usuarios invitados que no se hayan autenticado.
Para las identidades de máquinas, debe recurrir a los roles de IAM para que concedan acceso a AWS. Para las instancias de Amazon Elastic Compute Cloud (Amazon EC2), puede usar [roles para Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Puede asociar un rol de IAM a su instancia Amazon EC2 para permitir que las aplicaciones que se ejecuten en Amazon EC2 usen credenciales de seguridad temporales que AWS crea, distribuye y rota automáticamente mediante el servicio de metadatos de instancias (IMDS). La [última versión](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) de IMDS ayuda a proteger contra vulnerabilidades que exponen las credenciales temporales y deben implementarse. Para acceder a instancias Amazon EC2 con claves o contraseñas, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) es una forma más segura de acceder a sus instancias y administrarlas con un agente preinstalado sin el secreto almacenado. De forma adicional, otros servicios de AWS, como AWS Lambda, le permiten configurar un rol de servicio de IAM para conceder los permisos de servicio para llevar a cabo acciones de AWS con credenciales temporales. En situaciones en las que no pueda usar credenciales temporales, use herramientas programáticas, como [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), para automatizar la rotación y administración de credenciales.
**Audite y rote las credenciales de forma periódica: **la validación periódica, preferiblemente mediante una herramienta automatizada, es necesaria para verificar que se apliquen los controles correctos. En el caso de las identidades humanas, debería exigir a los usuarios que cambien sus contraseñas periódicamente y retirar las claves de acceso para sustituirlas por credenciales temporales. Al pasar de los usuarios de IAM a las identidades centralizadas, puede [generar un informe de credenciales ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)para auditar a sus usuarios de IAM. También recomendamos la aplicación de la configuración de MFA en su proveedor de identidades. Puede configurar [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para supervisar estos ajustes. Para las identidades de máquinas, debería recurrir a credenciales temporales con roles de IAM. En las situaciones en las que esto no sea posible, resulta necesario auditar y rotar con frecuencia las claves de acceso.
**Almacene y use los secretos de forma segura:** para las credenciales que no estén relacionadas con IAM y en las que no se puedan usar credenciales temporales, como para iniciar sesión en bases de datos, use un servicio que se haya diseñado para afrontar la gestión de secretos, como [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager facilita la administración, rotación y almacenamiento seguro de secretos cifrados con [servicios admitidos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Las llamadas para acceder a los secretos se registran en AWS CloudTrail con fines de auditoría, y los permisos de IAM pueden concederles un acceso con el mínimo nivel de privilegios.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Implemente políticas de privilegio mínimo: asigne políticas de acceso con privilegio mínimo a grupos y roles de IAM para reflejar el rol o la función del usuario que haya definido.
+ [Conceder privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ Elimine los permisos innecesarios: implemente privilegios mínimos eliminando los permisos que no sean necesarios.
+ [Reducción del alcance de las políticas con datos de la actividad de los usuarios](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [Ver accesos del rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ Plantéese los límites de permisos: un límite de permisos es una función avanzada para usar una política administrada que establece los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. El límite de permisos de una identidad le permite llevar a cabo únicamente las acciones autorizadas tanto por sus políticas basadas en la identidad como por sus límites de permisos.
+ [Laboratorio: Límites de permisos de IAM para delegar la creación de roles](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ Plantéese las etiquetas de recursos para los permisos: puede usar etiquetas para controlar el acceso a aquellos recursos de AWS compatibles con el uso de etiquetas. También puede etiquetar usuarios y roles de IAM para controlar a qué pueden acceder.
+ [Laboratorio: Control de acceso basado en etiquetas de IAM para EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [Control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## Recursos
**Documentos relacionados:**
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluciones de socios de seguridad: acceso y control de acceso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Videos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
+ [Administración de permisos de usuarios a escala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Dominar la identidad en cada piso de la tarta](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Almacenar y usar secretos de forma segura
Para las identidades de la fuerza de trabajo y las máquinas que requieren secretos, como las contraseñas para aplicaciones de terceros, debe almacenarlas con rotación automática utilizando los estándares sectoriales más recientes en un servicio especializado, como para las credenciales no relacionadas con IAM y que no pueden hacer uso de las credenciales temporales (por ejemplo, los inicios de sesión en base de datos), use un servicio diseñado para administrar secretos, como AWS Secrets Manager. Secrets Manager facilita la administración, rotación y almacenamiento seguro de secretos cifrados con servicios admitidos. Las llamadas para acceder a los secretos se registran en AWS CloudTrail con fines de auditoría, y los permisos de IAM pueden concederles un acceso con el mínimo nivel de privilegios.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Use AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) es un servicio de AWS que facilita la administración de secretos. Los secretos pueden ser credenciales de bases de datos, contraseñas, claves de API de terceros e, incluso, texto arbitrario.
## Recursos
**Documentos relacionados:**
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**Videos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 Recurrir a un proveedor de identidades centralizado
Para las identidades del personal, recurra a un proveedor de identidades que le permita administrar las identidades en un lugar centralizado. Esto facilita la administración del acceso a varias aplicaciones y servicios, ya que crea, administra y revoca el acceso desde una única ubicación. Por ejemplo, si alguien se va de su organización, puede revocarle el acceso a todas las aplicaciones y servicios (incluido AWS) desde una ubicación. Esto reduce la necesidad de tener múltiples credenciales y proporciona una oportunidad para integrarse con los procesos de recursos humanos (RR. HH.) existentes.
Para la federación con cuentas de AWS individuales, puede usar identidades centralizadas para AWS con un proveedor basado en SAML 2.0 con AWS Identity and Access Management. Puede utilizar cualquier proveedor, ya sea alojado por usted en AWS, externo a AWS o suministrado por la AWS Partner, que sea compatible con el protocolo [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Puede usar la federación entre su cuenta de AWS y un proveedor de su elección para conceder a un usuario o una aplicación acceso a las operaciones de llamada a la API de AWS utilizando una aserción SAML para obtener credenciales de seguridad temporales. El inicio de sesión único basado en web también es compatible y permite a los usuarios iniciar sesión en la Consola de administración de AWS desde el sitio web de inicio de sesión.
Para la federación en múltiples cuentas en su AWS Organizations, puede configurar su origen de identidad en [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/), y especificar dónde se almacenan sus usuarios y grupos. Una vez configurado, su proveedor de identidades es su fuente de verdad, y la información se puede [sincronizar](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) utilizando el protocolo del sistema para administración de identidades entre dominios (SCIM) v2.0. A continuación puede buscar usuarios o grupos y concederles acceso IAM Identity Center a las cuentas de AWS, aplicaciones en la nube o ambas.
IAM Identity Center se integra con AWS Organizations, lo que le permite configurar su proveedor de identidades una vez y después [conceder acceso a las cuentas nuevas y existentes](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) que se administran en su organización. IAM Identity Center le proporciona un almacén predeterminado que puede utilizar para administrar sus usuarios y grupos. Si decide usar el almacén de IAM Identity Center, cree sus usuarios y grupos y asígneles su nivel de acceso a sus cuentas y aplicaciones de AWS, teniendo siempre en mente la práctica recomendada de conceder un privilegio mínimo. Como alternativa, puede decidir [conectarse a su proveedor de identidades externo ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)con SAML 2.0, o [conectarse a su directorio de Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) con AWS Directory Service. Tras la configuración, puede iniciar sesión en la Consola de administración de AWS o la aplicación móvil de AWS autenticándose en su proveedor de identidades central.
Para administrar a los usuarios finales o consumidores de sus cargas de trabajo, como una aplicación móvil, puede usar [Amazon Cognito](http://aws.amazon.com/cognito/). Proporciona autenticación, autorización y administración de usuarios para sus aplicaciones móviles y web. Sus usuarios pueden iniciar sesión directamente con un nombre de usuario y una contraseña, o a través de un tercero, como Amazon, Apple, Facebook o Google.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
+ Centralice el acceso administrativo: cree una entidad proveedora de identidades en Identity and Access Management (IAM) para establecer una relación de confianza entre su Cuenta de AWS y su proveedor de identidades (IdP). IAM admite IdP compatibles con OpenID Connect (OIDC) o SAML 2.0 (Lenguaje de Marcado para Confirmaciones de Seguridad 2.0).
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Centralice el acceso a aplicaciones: plantéese usar Amazon Cognito para centralizar el acceso a aplicaciones. Le permite incorporar control de acceso e inscripción e inicio de sesión de usuarios a su sitio web y aplicaciones para dispositivos móviles de manera rápida y sencilla. [Amazon Cognito](https://aws.amazon.com/cognito/) se amplía a millones de usuarios y admite el inicio de sesión con proveedores de identidades sociales, como Facebook, Google y Amazon, y proveedores de identidades empresariales a través de SAML 2.0.
+ Elimine a los antiguos usuarios y grupos de IAM: tras empezar a utilizar un proveedor de identidades (IdP), elimine usuarios y grupos de IAM que ya no sean necesarios.
+ [Búsqueda de credenciales no utilizadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [Eliminación de un grupo de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## Recursos
**Documentos relacionados:**
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Soluciones de socios de seguridad: acceso y control de acceso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Vídeos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
+ [Administración de permisos de usuarios a escala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Dominar la identidad en cada piso del pastel](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 Auditar y rotar las credenciales periódicamente
Cuando no pueda confiar en las credenciales temporales y necesite credenciales a largo plazo, audítelas para asegurarse de que los controles definidos, por ejemplo, la autenticación multifactor (MFA), se aplican, se rotan periódicamente y tienen el nivel de acceso adecuado. La validación periódica, preferiblemente mediante una herramienta automatizada, es necesaria para verificar que se apliquen los controles correctos. En el caso de las identidades humanas, debería exigir a los usuarios que cambien sus contraseñas periódicamente y retirar las claves de acceso para sustituirlas por credenciales temporales. Al pasar de los usuarios de AWS Identity and Access Management (IAM) a las identidades centralizadas, puede [generar un informe de credenciales ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)para auditar a sus usuarios de IAM. También recomendamos la aplicación de la configuración de MFA en su proveedor de identidades. Puede configurar [Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) para supervisar estas opciones. Para las identidades de máquinas, debería recurrir a credenciales temporales con roles de IAM. En las situaciones en las que esto no sea posible, resulta necesario auditar y rotar con frecuencia las claves de acceso.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Audite periódicamente las credenciales: utilice los informes de credenciales y el Analizador de acceso de Identify and Access Management (IAM) para auditar las credenciales y los permisos de IAM.
+ [Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Obtener informes de credenciales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [Lab: Limpieza de usuarios de IAM automática](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ Utilice los niveles de acceso para revisar los permisos de IAM: para mejorar la seguridad de su Cuenta de AWS, revise y supervise periódicamente cada una de sus políticas de IAM. Asegúrese de que sus políticas conceden el privilegio mínimo necesario para realizar solo las acciones necesarias.
+ [Utilizar los niveles de acceso para revisar los permisos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ Considere la posibilidad de automatizar la creación y las actualizaciones de los recursos de IAM: AWS CloudFormation se puede utilizar para automatizar el despliegue de los recursos de IAM, como los roles y las políticas, a fin de reducir los errores humanos, ya que las plantillas pueden verificarse y controlarse las versiones.
+ [Laboratorio: Despliegue automatizado de grupos y roles de IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## Recursos
**Documentos relacionados:**
+ [Primeros pasos con AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Proveedores y federación de identidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Soluciones de socios de seguridad: acceso y control de acceso](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**Vídeos relacionados:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Prácticas recomendadas para administrar, recuperar y rotar secretos a escala)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center (Administración de permisos de usuarios a escala con AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake (Dominar la identidad en cada piso del pastel)](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 Aprovechar los grupos y atributos de usuarios
A medida que crezca el número de usuarios que administra, tendrá que determinar formas de organizarlos para que pueda administrarlos a escala. Coloque a usuarios con requisitos de seguridad comunes en grupos definidos por su proveedor de identidades, y prepare mecanismos para garantizar que los atributos de usuarios que puedan usarse para controlar el acceso (por ejemplo, los de departamento o ubicación) sean correctos y estén actualizados. Use estos grupos y atributos para controlar el acceso, en lugar de usuarios individuales. Esto le permitirá administrar el acceso de forma centralizada cambiando la pertenencia a un grupo de un usuario o sus atributos una vez con un [conjunto de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), en lugar de actualizar muchas políticas individuales cuando el acceso de un usuario tenga que cambiarse. Puede usar AWS IAM Identity Center (IAM Identity Center) para administrar grupos y atributos de usuarios. IAM Identity Center admite los atributos de usuarios utilizados más habitualmente, ya sea mediante introducción manual durante la creación del usuario o mediante un aprovisionamiento automático con un motor de sincronización, como lo que se define en el estándar Sistema para administración de identidades entre dominios (SCIM).
Coloque a usuarios con requisitos de seguridad comunes en grupos definidos por su proveedor de identidades, y prepare mecanismos para garantizar que los atributos de usuarios que puedan usarse para controlar el acceso (por ejemplo, los de departamento o ubicación) sean correctos y estén actualizados. Use estos grupos y atributos en lugar de usuarios individuales para controlar el acceso. Esto le permite administrar el acceso de forma centralizada cambiando la pertenencia a un grupo de un usuario o sus atributos una vez, en lugar de tener que actualizar muchas políticas individuales cuando el acceso de un usuario necesita cambiarse.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
+ Si utiliza AWS IAM Identity Center (IAM Identity Center), configure grupos: IAM Identity Center le proporciona la capacidad de configurar grupos de usuarios y asignar a los grupos el nivel deseado de permisos.
+ [Inicio de sesión único de AWS: administración de identidades](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Descubra el control de acceso basado en atributos (ABAC): ABAC es una estrategia de autorización que define permisos basados en atributos.
+ [¿Qué es ABAC para AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Laboratorio: Control de acceso basado en etiquetas de IAM para EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Recursos
**Documentos relacionados:**
+ [Introducción a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Proveedores de identidades y federación](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Usuario raíz de una cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Videos relacionados:**
+ [Prácticas recomendadas para administrar, recuperar y rotar secretos a escala](https://youtu.be/qoxxRlwJKZ4)
+ [Administración de permisos de usuarios a escala con AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Dominar la identidad en cada piso de la tarta](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Ejemplos relacionados:**
+ [Laboratorio: Control de acceso basado en etiquetas de IAM para EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)