# SEC 3 ¿Cómo administra la autenticación para personas y máquinas?
Administre permisos para controlar el acceso a identidades de personas y de máquinas que requieran acceso a AWS y sus cargas de trabajo. Los permisos controlan quién puede acceder a qué y en qué condiciones.
**Topics**
+ [SEC03-BP01 Definir los requisitos de acceso](sec_permissions_define.md)
+ [SEC03-BP02 Conceder acceso con privilegios mínimos](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Establecer un proceso de acceso de emergencia](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Reducir continuamente los permisos](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Definir las barreras de protección de los permisos para su organización](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Administrar el acceso en función del ciclo de vida](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analizar el acceso público y entre cuentas](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Compartir recursos de forma segura](sec_permissions_share_securely.md)
# SEC03-BP01 Definir los requisitos de acceso
A cada componente o recurso de su carga de trabajo deben acceder administradores, usuarios finales u otros componentes. Tenga una definición clara de quién o qué debe tener acceso a cada componente, elija el tipo de identidad y el método de autenticación y autorización adecuados.
**Patrones comunes de uso no recomendados:**
+ Codificación rígida o almacenamiento de secretos en la aplicación.
+ Concesión de permisos personalizados para cada usuario.
+ Uso de credenciales de larga duración.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
A cada componente o recurso de su carga de trabajo deben acceder administradores, usuarios finales u otros componentes. Tenga una definición clara de quién o qué debe tener acceso a cada componente, elija el tipo de identidad y el método de autenticación y autorización adecuados.
El acceso normal a las Cuentas de AWS en la organización debe proporcionarse mediante [acceso federado](https://aws.amazon.com/identity/federation/) o un proveedor de identidades centralizado. También debe centralizar su administración de identidades y asegurarse de que existe una práctica establecida para integrar el acceso de AWS al ciclo de vida de los empleados. Por ejemplo, cuando un empleado cambia a un cargo con un nivel de acceso distinto, su pertenencia al grupo también debe cambiar para reflejar sus nuevos requisitos de acceso.
Al definir los requisitos de acceso para las identidades que no son humanas, determine qué aplicaciones y componentes necesitan acceso y cómo se conceden los permisos. El enfoque recomendado es utilizar roles de IAM creados con el modelo de acceso de privilegio mínimo. [Las políticas administradas de AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) proporcionan políticas de IAM predefinidas que cubren los casos de uso más comunes.
Los servicios de AWS, como [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) y [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html), pueden servir para desacoplar los secretos de la aplicación o de la carga de trabajo de forma segura en los casos en los que no es factible utilizar roles de IAM. En Secrets Manager, puede establecer una rotación automática de sus credenciales. Puede utilizar Systems Manager para hacer referencia a los parámetros en sus scripts, comandos, documentos SSM, configuración y flujos de trabajo de automatización con el nombre único que especificó al crear el parámetro.
Puede usar Funciones de AWS Identity and Access Management en cualquier lugar para obtener [credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) para las cargas de trabajo que se ejecutan fuera de AWS. Sus cargas de trabajo puede usar las mismas [políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) y [roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que utiliza con las aplicaciones de AWS para acceder a los recursos de AWS.
Siempre que sea posible, se deben preferir las credenciales temporales a corto plazo en lugar de las credenciales estáticas a largo plazo. En las situaciones en las que necesite usuarios de IAM con acceso programático y credenciales a largo plazo, utilice [información de la clave de acceso utilizada por última vez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) para rotar y retirar las claves de acceso.
## Recursos
**Documentos relacionados:**
+ [Control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [Funciones de IAM en cualquier lugar](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [Políticas administradas de AWS para IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [Condiciones de las políticas de AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [Casos de uso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Elimine credenciales innecesarias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Administración de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [How to control access to AWS resources based on Cuenta de AWS, OU, or organization (Cómo controlar el acceso a los recursos de AWS en función de la Cuenta de AWS, la unidad organizativa o la organización)](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identify, arrange, and manage secrets easily using enhanced search in AWS Secrets Manager (Identificar, organizar y administrar fácilmente los secretos mediante la búsqueda mejorada en AWS Secrets Manager)](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Vídeos relacionados:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Consiga dominar las políticas de IAM en 60 minutos o menos)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separación de deberes, privilegio mínimo, delegación y CI/CD)](https://youtu.be/3H0i7VyTu70)
+ [Streamlining identity and access management for innovation (Optimizar la administración de identidades y accesos para la innovación)](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Conceder acceso con privilegios mínimos
Conceda exclusivamente el acceso que las identidades necesitan mediante la restricción de los permisos a acciones concretas en recursos de AWS específicos en determinadas condiciones. Utilice grupos y atributos de identidad para configurar dinámicamente los permisos en función de las necesidades en lugar de configurarlos para cada usuario. Por ejemplo, puede conceder acceso a un grupo de desarrolladores para que solamente puedan administrar recursos de su proyecto. De este modo, si un desarrollador abandona el grupo, su acceso para acceder a cualquier lugar al que el grupo pudiera acceder quedará revocado sin necesidad de realizar ningún cambio en las políticas de acceso.
**Patrones comunes de uso no recomendados:**
+ Concesión predeterminada de permisos de administrador a los usuarios.
+ Uso de la cuenta raíz para las actividades cotidianas.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto
## Guía para la implementación
El establecimiento de un principio de [privilegio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) garantiza que a las identidades solo se les permita realizar el conjunto de funciones mínimo necesario para llevar a cabo una tarea específica, a la vez que mantiene un equilibrio entre usabilidad y eficacia. Al operar según este principio, se limita el acceso involuntario y se garantiza que se pueda auditar quién tiene acceso a determinados recursos. En AWS, las identidades no tienen permisos de forma predeterminada excepto el usuario raíz. Las credenciales del usuario raíz deben estar muy controladas y solo se deben utilizar para unas pocas [tareas específicas](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).
Las políticas se utilizan para conceder explícitamente permisos adjuntos a IAM o a entidades de recursos, como un rol de IAM que utilizan las identidades o máquinas federadas, o recursos (por ejemplo, buckets de S3). Al crear y adjuntar una política, puede especificar las acciones de servicio, los recursos y las condiciones que se deben cumplir para que AWS permita el acceso. AWS es compatible con una amplia variedad de condiciones que le ayudarán a acotar el acceso. Por ejemplo, si usa la clave de condición `PrincipalOrgID` [,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)el identificador de AWS Organizations se verifica de modo que se pueda conceder el acceso en su organización de AWS.
También puede controlar las solicitudes que realicen los servicios de AWS en su nombre, como que AWS CloudFormation cree una función de AWS Lambda, mediante la clave de condición `CalledVia` . Debe estratificar los diferentes tipos de políticas para limitar de forma eficaz los permisos generales en una cuenta. Por ejemplo, puede permitir a sus equipos de aplicaciones crear sus propias políticas de IAM, pero utilizar un [límite de permisos](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) para restringir el máximo de permisos que pueden conceder.
Existen varias capacidades de AWS que le ayudan a escalar la administración de permisos y a cumplir el principio de privilegio mínimo. [El control de acceso basado en atributos](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) le permite limitar los permisos en función de la *[etiqueta](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* de un recurso, para tomar decisiones de autorización basadas en las etiquetas aplicadas al recurso y a la entidad principal de IAM de llamada. De este modo, podrá combinar su política de etiquetado y de permisos para conseguir un acceso detallado a los recursos sin necesidad de muchas políticas personalizadas.
Otra forma de acelerar la creación de una política de privilegio mínimo, consiste en basar su política de CloudTrail en los permisos tras la ejecución de una actividad. [IAM Access Analyzer puede generar automáticamente una política de IAM basada en la actividad](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). También puede utilizar IAM Access Advisor en una organización o una cuenta individual para [hacer un seguimiento de la información a la que se ha accedido por última vez para una política concreta](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).
Establezca una cadencia de revisión de estos detalles y elimine los permisos innecesarios. Debe establecer barreras de protección de permisos en su organización de AWS para controlar los permisos máximos en cualquier cuenta de miembro. Los servicios como [AWS Control Tower tienen controles preventivos prescriptivos administrados](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) y le permiten definir sus propios controles.
## Recursos
**Documentos relacionados:**
+ [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Techniques for writing least privilege IAM policies (Técnicas para elaborar políticas de IAM de privilegio mínimo)](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity (IAM Access Analyzer facilita la implementación de los permisos de privilegio mínimo al generar políticas de IAM basadas en la actividad de acceso)](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Refining Permissions using last accessed information (Mejora de los permisos con la información del último acceso)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM policy types and when to use them (Tipos de políticas de IAM y cuándo utilizarlas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Testing IAM policies with the IAM policy simulator (Prueba de las políticas de IAM con el simulador de políticas de IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [Guardrails in AWS Control Tower (Barreras de protección en AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero Trust architectures: An AWS perspective (Arquitecturas de confianza cero: una perspectiva de AWS)](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [How to implement the principle of least privilege with CloudFormation StackSets (Cómo implementar el principio de privilegio mínimo con CloudFormation StackSets)](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**Vídeos relacionados:**
+ [Next-generation permissions management (Administración de permisos de nueva generación)](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: An AWS perspective (Confianza cero: una perspectiva de AWS)](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation? (¿Cómo puedo utilizar los límites de los permisos para restringir a los usuarios y los roles de IAM para evitar la escalada de privilegios?)](https://www.youtube.com/watch?v=omwq3r7poek)
**Ejemplos relacionados:**
+ [Laboratorio: Límites de permisos de IAM para delegar la creación de roles](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 Establecer un proceso de acceso de emergencia
Un proceso que permita el acceso de emergencia a su carga de trabajo en el improbable caso de que se produzca un error en un proceso automatizado o una canalización. Esto le ayudará a recurrir al acceso de privilegio mínimo, pero a la vez garantiza que los usuarios puedan obtener el nivel de acceso correcto cuando lo necesiten. Por ejemplo, establezca un proceso para que los administradores verifiquen y aprueben su solicitud, como un rol entre cuentas de AWS para el acceso o un proceso específico que puedan seguir los administradores para validar y aprobar una solicitud de emergencia.
**Patrones comunes de uso no recomendados:**
+ No contar con un proceso de emergencia para recuperarse de una interrupción con su configuración de identidad existente
+ Conceder permisos de alto nivel a largo plazo con fines de solución de problemas o de recuperación
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Medio
## Guía para la implementación
El establecimiento de un acceso de emergencia puede adoptar varias formas para las que debe estar preparado. La primera es un error de su proveedor de identidad principal. En este caso, deberá confiar en un segundo método de acceso con los permisos necesarios para la recuperación. Este método podría ser un proveedor de identidad de reserva o un usuario de IAM. Este segundo método se debe [controlar, supervisar y notificar de forma estricta](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) en caso de que se utilice. La identidad de acceso de emergencia debe proceder de una cuenta específica para este fin y tener solo permisos para asumir un rol específicamente diseñado para la recuperación.
También debe estar preparado para un acceso de emergencia en el que se necesite un acceso administrativo de alto nivel temporal. Una situación habitual es limitar los permisos de mutación a un proceso automatizado utilizado para desplegar los cambios. Si este proceso tiene algún problema, es posible que los usuarios deban solicitar permisos de alto nivel para restablecer la funcionalidad. En este caso, establezca un proceso en el que los usuarios puedan solicitar un acceso de alto nivel y los administradores puedan validarlo y aprobarlo. Los planes de implementación que detallan la guía de prácticas recomendadas para aprovisionar previamente el acceso y configurar los roles de emergencia e *inmediatos*, se proporcionan como parte de [SEC10-BP05: Aprovisionamiento previo del acceso](sec_incident_response_pre_provision_access.md).
## Recursos
**Documentos relacionados:**
+ [Monitor and Notify on AWS (Supervisar y notificar sobre AWS)](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [Managing temporary elevated access (Administrar el acceso de alto nivel temporal)](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**Vídeo relacionado:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Consiga dominar las políticas de IAM en 60 minutos o menos)](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 Reducir continuamente los permisos
A medida que los equipos y las cargas de trabajo determinen qué acceso necesitan, elimine los permisos que ya no utilicen y establezca procesos de revisión para conseguir permisos con privilegios mínimos. Supervise y reduzca continuamente las identidades y permisos no utilizados.
A veces, cuando los equipos y proyectos están empezando, puede que decida conceder un acceso amplio (en un entorno de desarrollo o pruebas) para estimular la innovación y la agilidad. Recomendamos que evalúe el acceso continuamente y que, especialmente en un entorno de producción, restrinja el acceso solamente a los permisos necesarios y que aplique privilegios mínimos. AWS ofrece capacidades de análisis del acceso para ayudarle a identificar los accesos no utilizados. Para ayudarle a identificar los usuarios, roles, permisos y credenciales no utilizados, AWS analiza la actividad de acceso y ofrece información sobre el último uso de las claves de acceso y los roles. Puede usar la [marca de tiempo de último acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) to [identificar usuarios y roles no utilizados](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)y eliminarlos. Además, puede revisar la información de último acceso en servicios y acciones para identificar y [limitar los permisos para usuarios y roles específicos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Por ejemplo, puede utilizar la información sobre el último acceso para identificar las acciones específicas de Amazon Simple Storage Service (Amazon S3) necesarias para el rol de su aplicación y restringir el acceso únicamente a dichas acciones. Estas características están disponibles en la Consola de administración de AWS y de manera programática para permitirle incorporarlas en sus flujos de trabajo de infraestructura y sus herramientas automatizadas.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana
## Guía para la implementación
+ Configure AWS Identify and Access Management (IAM) Access Analyzer: AWS IAM Access Analyzer le ayuda a identificar los recursos y cuentas de su organización, como los buckets de Amazon Simple Storage Service (Amazon S3) o los roles de IAM, que se comparten con una entidad externa.
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## Recursos
**Documentos relacionados:**
+ [Control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Conceder privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Elimine credenciales innecesarias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vídeos relacionados:**
+ [Consiga dominar las políticas de IAM en 60 minutos o menos](https://youtu.be/YQsK4MtsELU)
+ [Separación de deberes, privilegio mínimo, delegación y CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 Definir las barreras de protección de los permisos para su organización
Establezca controles comunes que restrinjan el acceso a todas las identidades de su organización. Por ejemplo, puede restringir el acceso a determinadas Regiones de AWS o impedir que sus operadores eliminen recursos comunes, como un rol de IAM que usa su equipo de seguridad central.
**Patrones comunes de uso no recomendados:**
+ Ejecutar cargas de trabajo en su cuenta de administrador de la organización.
+ Ejecutar cargas de trabajo de producción y de no producción en la misma cuenta.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Medio
## Guía para la implementación
A medida que crezca y administre cargas de trabajo adicionales en AWS, deberá separarlas mediante cuentas y administrar dichas cuentas con AWS Organizations. Le recomendamos que establezca barreras de protección de permisos comunes que restrinjan el acceso a todas las identidades de su organización. Por ejemplo, puede restringir el acceso a determinadas Regiones de AWS o impedir que su equipo elimine recursos comunes, como un rol de IAM que usa su equipo de seguridad central.
Puede empezar con la implementación de ejemplos de políticas de control de servicios, como impedir que los usuarios desactiven servicios clave. Las SCP utilizan el lenguaje de las políticas de IAM y le permiten establecer controles a los que se adhieren todas las entidades principales de IAM (usuarios y roles). Puede restringir el acceso a determinadas acciones de servicio, recursos y según una condición específica para satisfacer las necesidades de control de acceso de su organización. Si es necesario, puede definir excepciones a sus barreras de protección. Por ejemplo, puede restringir las acciones de servicio para todas las entidades de IAM de la cuenta excepto para un rol de administrador específico.
Le recomendamos que evite ejecutar cargas de trabajo en su cuenta de administración. Esta cuenta debe utilizarse para controlar y desplegar las barreras de protección que afectarán a las cuentas de los miembros. Algunos servicios de AWS admiten el uso de una cuenta de administrador delegada. Cuando esté disponible, deberá utilizar esta cuenta delegada en lugar de la cuenta de administración. Debe limitar firmemente el acceso a la cuenta de administrador de la organización.
El uso de una estrategia de varias cuentas le permite tener una mayor flexibilidad a la hora de aplicar las barreras de protección a sus cargas de trabajo. La Arquitectura de referencia de Seguridad de AWS ofrece recomendaciones sobre cómo diseñar la estructura de su cuenta. Los servicios de AWS como AWS Control Tower proporcionan capacidades para administrar de forma centralizada tanto los controles preventivos como los de detección en toda la organización. Defina un propósito claro para cada cuenta o unidad organizativa en su organización y limite los controles de acuerdo con dicho propósito.
## Recursos
**Documentos relacionados:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Service control policies (SCPs) (Políticas de control de servicios [SCP])](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Get more out of service control policies in a multi-account environment (Saque más partido a las políticas de control del servicio en un entorno de varias cuentas)](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [Arquitectura de referencia de AWS (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Vídeos relacionados:**
+ [Enforce Preventive Guardrails using Service Control Policies (Aplicar las barreras de protección preventivas mediante políticas de control de servicios)](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Building governance at scale with AWS Control Tower (Consolidar la gobernanza a escala con AWS Control Tower)](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management deep dive (Profundización en AWS Identity and Access Management)](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Administrar el acceso en función del ciclo de vida
Integre los controles de acceso con el ciclo de vida de la aplicación y el operador, el proveedor de federación centralizado. Por ejemplo, quite el acceso a un usuario cuando abandone la organización o cambie de rol.
A medida que vaya administrando las cargas de trabajo con cuentas independientes, habrá casos en los que necesite compartir recursos entre esas cuentas. Le recomendamos que comparta los recursos con [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Este servicio le permite compartir de forma sencilla y segura recursos de AWS en su AWS Organizations y las unidades organizativas. Con AWS RAM, el acceso a los recursos compartidos se concede o revoca automáticamente a medida que las cuentas entran y salen de la organización o unidad organizativa con la que se comparten. Esto ayuda a garantizar que los recursos se comparten solo con las cuentas que pretende.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
Ciclo de vida de acceso de los usuarios Implemente una política de ciclo de vida de acceso de los usuarios para la incorporación de nuevos usuarios, los cambios de puesto y la salida de usuarios, de modo que solo tengan acceso los usuarios actuales.
## Recursos
**Documentos relacionados:**
+ [Control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Conceder privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Elimine credenciales innecesarias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vídeos relacionados:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Consiga dominar las políticas de IAM en 60 minutos o menos)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Separación de deberes, privilegio mínimo, delegación y CI/CD)](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Analizar el acceso público y entre cuentas
Supervise continuamente los resultados que ponen de relieve el acceso público y entre cuentas. Reduzca el acceso público y el acceso entre cuentas solo a los recursos que requieran este tipo de acceso.
**Patrones comunes de uso no recomendados:**
+ No seguir un proceso para controlar el acceso entre cuentas y el acceso público a los recursos
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
En AWS, puede conceder acceso a los recursos de otra cuenta. El acceso entre cuentas se concede directamente mediante políticas adjuntas a los recursos (por ejemplo, [políticas de buckets de Amazon Simple Storage Service [Amazon S3]](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) o al permitir que una identidad asuma un rol de IAM en otra cuenta. Cuando utilice las políticas de recursos, verifique que se concede acceso a las identidades de su organización y que tiene la intención de hacer públicos los recursos. Defina un proceso para aprobar todos los recursos que deban estar disponibles públicamente.
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) usa [seguridad comprobable](https://aws.amazon.com/security/provable-security/) para identificar todas las rutas de acceso a un recurso desde fuera de su cuenta. Revisa continuamente las políticas de recursos e informa de los resultados del acceso público y entre cuentas para facilitarle el análisis de un acceso potencialmente amplio. Considere la posibilidad de configurar IAM Access Analyzer con AWS Organizations para verificar que tiene visibilidad en todas sus cuentas. IAM Access Analyzer también le permite [obtener una vista previa de los resultados del analizador de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), antes de desplegar los permisos de los recursos. Esto le permite validar que sus cambios de política conceden solo el acceso público y entre cuentas previsto a sus recursos. Cuando diseñe para el acceso de varias cuentas, puede utilizar [políticas de confianza para controlar en qué casos se puede asumir un rol](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Por ejemplo, puede limitar la asunción de roles a un intervalo de IP de origen concreto.
También puede utilizar [AWS Config para informar y corregir los recursos](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) para cualquier configuración de acceso público accidental, mediante comprobaciones de políticas de AWS Config. Servicios como [AWS Control Tower](https://aws.amazon.com/controltower) y [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) simplifican el despliegue de controles y barreras de protección en AWS Organizations para identificar y corregir los recursos expuestos públicamente. Por ejemplo, AWS Control Tower tiene una barrera de protección administrada que puede detectar si alguna [instantánea de Amazon EBS la pueden restaurar todas las cuentas de AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
## Recursos
**Documentos relacionados:**
+ [Using AWS Identity and Access Management Access Analyzer (Uso de AWS Identity and Access Management Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Guardrails in AWS Control Tower (Barreras de protección en AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Foundational Security Best Practices standard (Estándar de prácticas recomendadas de seguridad básicas de AWS)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config Managed Rules (Reglas administradas de AWS Config)](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Trusted Advisor check reference (Referencia de verificación de AWS Trusted Advisor)](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**Vídeos relacionados:**
+ [Best Practices for securing your multi-account environment (Prácticas recomendadas para proteger su entorno de varias cuentas)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Profundización en IAM Access Analyzer)](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Compartir recursos de forma segura
Controle el consumo de los recursos compartidos entre cuentas o en su AWS Organizations. Supervise los recursos compartidos y revise el acceso a los recursos compartidos.
**Patrones comunes de uso no recomendados:**
+ Uso de la política de confianza de IAM predeterminada al conceder el acceso entre cuentas de terceros
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo
## Guía para la implementación
Al administrar sus cargas de trabajo con varias cuentas de AWS, es posible que necesite compartir recursos entre ellas. Con mucha frecuencia, se trata de un uso compartido entre cuentas en AWS Organizations. Varios servicios de AWS como [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)y [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) tienen características entre cuentas integradas con Organizations. Puede usar [AWS Resource Access Manager](https://aws.amazon.com/ram/) para compartir otros recursos compartidos, como [subredes VPC o conexiones de puerta de enlace tránsito](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)o [canalizaciones de Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Si quiere asegurarse de que su cuenta solo comparte recursos en sus Organizations, le recomendamos que utilice [políticas de control de servicios (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) para impedir el acceso a entidades principales externas.
Cuando se comparten recursos, se deben establecer medidas de protección contra el acceso involuntario. Recomendamos combinar los controles basados en la identidad y los controles de red para [crear un perímetro de datos para su organización](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Estos controles deben poner límites estrictos a los recursos que se pueden compartir y evitar que se compartan o expongan recursos que no deberían permitirse. Por ejemplo, como parte de su perímetro de datos podría utilizar las políticas de punto de conexión de VPC y la condición `aws:PrincipalOrgId` para garantizar que las identidades que acceden a sus buckets de Amazon S3 pertenecen a su organización.
En algunos casos, conviene permitir que se compartan recursos fuera de sus Organizations o conceder a terceros el acceso a su cuenta. Por ejemplo, un socio puede proporcionar una solución de supervisión que necesita acceder a los recursos en su cuenta. En esos casos, deberá crear un rol entre cuentas de IAM con solo los privilegios que necesite el tercero. También debe elaborar una política de confianza con la [condición de ID externo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Cuando utilice un ID externo, deberá generar un ID único para cada tercero. El ID único no lo debe suministrar ni controlar el tercero. Si el tercero ya no necesita acceder a su entorno, debe eliminar el rol. También debe evitar siempre proporcionar credenciales de IAM de larga duración a un tercero. Tenga en cuenta otros servicios de AWS que admitan el uso compartido de forma nativa. Por ejemplo, AWS Well-Architected Tool permite [compartir una carga de trabajo](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) con otras cuentas de AWS.
Al utilizar un servicio como Amazon S3, se recomienda [desactivar las ACL del bucket de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) y utilizar las políticas de IAM para definir el control de acceso. [Para restringir el acceso a un Amazon S3 origen](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) de [Amazon CloudFront](https://aws.amazon.com/cloudfront/), migre de la identidad de acceso de origen (OAI) al control de acceso de origen (OAC), que admite características adicionales como el cifrado del servidor con [AWS KMS](https://aws.amazon.com/kms/).
## Recursos
**Documentos relacionados:**
+ [Bucket owner granting cross-account permission to objects it does not own (El propietario del bucket concede permisos entre varias cuentas a objetos que no son de su propiedad)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM (Cómo utilizar las políticas de confianza con IAM)](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS (Creación de un perímetro de datos en AWS)](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [How to use an external ID when granting a third party access to your AWS resources (Cómo utilizar un ID externo al conceder a un tercero el acceso a sus recursos de AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**Vídeos relacionados:**
+ [Granular Access with AWS Resource Access Manager (Acceso detallado con AWS Resource Access Manager)](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints (Protección del perímetro de datos con puntos de conexión de VPC)](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS (Establecimiento de un perímetro de datos en AWS) ](https://www.youtube.com/watch?v=SMi5OBjp1fI)