¿Qué es la administración de acceso a la identidad en AWS?
Publicado: 2019-08-09Amazon Web Services (AWS) es una parte masiva de la infraestructura de Internet. Las estimaciones informadas por TheVerge dicen que aproximadamente el 40% de todo el tráfico de Internet se ejecuta en AWS. Los servicios de Internet más populares utilizados por millones se pueden encontrar ejecutándose en AWS, incluidos Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify y muchos más. No solo los sitios web populares y los servicios en línea completos se ejecutan en AWS; muchos sitios web utilizan AWS como soporte para parte de su presencia en línea.
Cuando AWS se cae, como sucedió en alguna ocasión, partes gigantescas de lo que se reconoce como Internet dejan de funcionar. Los problemas técnicos y las brechas de seguridad pueden causar estas fallas. Esto significa que Amazon se toma muy en serio los problemas de seguridad. AWS protege la red y sus clientes del acceso no autorizado mediante una sólida administración de acceso de identidad.
¿Qué es la gestión de acceso a la identidad?
La gestión de acceso a la identidad (IAM) es un programa de software o un servicio basado en la web que se utiliza para controlar de forma segura el acceso a los recursos de la red. Un sistema IAM primero autentica a un usuario a través de un proceso de inicio de sesión protegido por contraseña y luego le permite acceder a los recursos de la red de acuerdo con sus permisos autorizados para usarlos.
Para los servicios basados en la nube, la administración de acceso de usuarios en la nube utiliza un sistema de autenticación basado en la nube para determinar la identidad de un usuario y luego permite el acceso autorizado. Amazon Web Services (AWS) tiene un sistema de administración de acceso a la identidad que funciona con el sistema en la nube de AWS.
Administración de acceso e identidad de AWS
La administración de acceso e identidad de AWS comienza con la creación de una cuenta de AWS. Al principio, un usuario tiene una identidad de inicio de sesión única que crea un usuario raíz que tiene acceso total a los servicios de AWS para esa cuenta. La cuenta de usuario raíz utiliza la dirección de correo electrónico de una persona y una contraseña que crea para la autenticación.
Los usuarios de AWS deben proteger la información de esta cuenta de usuario raíz con mucho cuidado porque es la cuenta que puede acceder a todo. Consulte la sección de mejores prácticas a continuación para conocer la mejor manera de proteger esta información.
Algunas características de AWS IAM incluyen:
- Acceso compartido : esto permite que otros usuarios tengan acceso a la cuenta de AWS utilizando sus credenciales de inicio de sesión.
- Permisos autorizados granulares : se puede otorgar acceso a los usuarios de acuerdo con permisos elegidos de manera muy específica que van desde el acceso total al acceso de grupo, el acceso a la aplicación, el acceso a archivos específicos protegidos con contraseña y todo lo demás.
- Autenticación de dos factores : esta opción de seguridad opcional requiere que un usuario autorizado use la contraseña/clave de acceso correcta y responda a un código de mensaje de texto enviado a un dispositivo o dirección de correo electrónico, como el teléfono inteligente o la cuenta de correo electrónico del usuario.
- API seguras: las interfaces de programación de aplicaciones seguras brindan a los programas de software la capacidad de conectarse a los datos y servicios en el sistema de AWS que se necesitan para realizar sus funciones.
- Federaciones de identidad : esto permite que las contraseñas de los usuarios autorizados se almacenen en otro lugar en otro sistema que se utiliza para la identificación.
- Auditoría de uso : al usar el servicio AWS CloudTrial, se registra un registro completo de la actividad de acceso a la cuenta de los usuarios para auditorías de seguridad de TI.
Comprender cómo funciona AIM en AWS
La administración de acceso a la identidad de Amazon se basa en los principios de una estructura de permisos por niveles que incluye recursos, identidades, entidades y principales.
#Recursos
Los recursos se pueden agregar, editar o eliminar del sistema AWS IAM. Los recursos son los usuarios, grupos, roles, políticas y objetos para los proveedores de identidad que almacena el sistema.
#Identidades
Estos son objetos de recursos de AWS IAM que conectan políticas a identidades para definir usuarios, roles y grupos.
#Entidades
Estos son los que utiliza el sistema IAM de AWS como objetos de recursos con fines de autenticación. En el sistema de AWS, son los usuarios y sus roles autorizados. Como opción, pueden provenir de un sistema de identificación federado o SAML que proporciona verificación de identidad basada en la web.
#directores
Puede ser un usuario individual o una aplicación de software autorizada que se reconozca como un usuario de AWS IAM o un rol de IAM que esté autorizado para iniciar sesión y solicitar acceso a datos y servicios.
Prácticas recomendadas para la administración de AWS
Estas son algunas de las mejores prácticas a seguir para la administración de AWS.
1. Seguridad de la cuenta de usuario raíz
La cuenta de usuario raíz creada cuando se usó AWS por primera vez tiene más poder y es la "clave maestra" para una cuenta de AWS. Solo debe usarse para configurar la cuenta y solo para algunas operaciones necesarias de administración de cuentas y servicios. El inicio de sesión inicial requiere una dirección de correo electrónico y una contraseña.
Las mejores prácticas para proteger esta cuenta raíz son usar una dirección de correo electrónico de un solo uso que sea muy compleja con al menos 8 caracteres (con símbolos, letras mayúsculas, letras minúsculas y números) antes del signo "@". Además, use una contraseña única, diferente a la dirección de correo electrónico que también tenga al menos 8 caracteres, que incluya símbolos, números, letras mayúsculas y minúsculas. Las contraseñas más largas son mejores.
Una vez que la cuenta de AWS está completamente configurada y establecida, se crean otras cuentas administrativas para uso regular.
Una vez que finalice la necesidad de la cuenta de usuario root para que todo comience, guarde la información de acceso de la cuenta root en una unidad USB bloqueándola con cifrado y luego mantenga la clave de cifrado por separado. Ponga la unidad USB fuera de línea en una caja fuerte cerrada, donde pueda guardarse de forma segura hasta que la necesite en el futuro.
2. Limitar permisos
Otorgue a los usuarios y las aplicaciones solo los permisos exactos que necesitan para hacer su trabajo. Tenga cuidado al otorgar acceso a información confidencial y servicios de misión crítica.
3. Problemas de seguridad
La seguridad es un tema pendiente. Comienza con una estructura de diseño de acceso de usuario sólida y luego usa auditorías continuas para detectar intentos de acceso no autorizado, así como también administra las contraseñas de los usuarios para lograr una complejidad suficiente y cambios regulares de contraseña. Es importante cancelar rápidamente el acceso del usuario cuando ya no se necesite o desee. Se recomienda encarecidamente utilizar AWS CloudTrial con fines de auditoría.
4. Cifrado
Al otorgar acceso a AWS desde dispositivos que utilizan Internet, asegúrese de utilizar el cifrado de punto a punto, como SSL, para asegurarse de que los datos no se vean comprometidos durante el tránsito.
5. Preguntas frecuentes sobre AWS Identity Access Management
Las preguntas frecuentes sobre la administración de acceso a la identidad de AWS cubren algunos cuestionarios para tratar problemas que lo ayudan con la administración de acceso de AWS.
Detalles técnicos de AWS Access Management
La administración de acceso de AWS tiene un gráfico que muestra cómo los protocolos de IAM interactúan con el sistema completo basado en la nube de AWS. Los protocolos de IAM incluyen políticas basadas en identidad, políticas basadas en recursos y otras políticas utilizadas para la autorización.
Durante el proceso de autorización, el sistema de AWS verifica las políticas para decidir si permite o deniega el acceso.
La estructura general de la política se basa en un conjunto escalonado de principios clave que incluyen:
- Solo el usuario de la cuenta raíz tiene acceso completo. De forma predeterminada, se deniegan todas las demás solicitudes de acceso.
- Solo una política de recursos o de identidad explícita puede anular el valor predeterminado del sistema.
- Un límite de permisos para una sesión o basado en la política estructural (SCP) de una organización puede anular el acceso otorgado por una política basada en recursos o identidad.
- Una regla de denegación específica anula cualquier acceso permitido bajo otros parámetros.
Tutoriales de IAM de AWS
Amazon ofrece tutoriales para aquellos que deseen obtener más información sobre cómo configurar la administración de acceso e identidad en AWS.
Los problemas relacionados con la configuración de AWS IAM y su uso adecuado son complejos. Para asegurarse de que sea más fácil para los nuevos clientes usar el sistema, Amazon produjo muchos tutoriales útiles que incluyen:
- Acceso delegado de la consola de facturación a la consola de facturación
- Utilice funciones de IAM para la cuenta de AWS para delegar el acceso
- Crear una primera política administrada por el cliente
- Permitir que los usuarios configuren las credenciales y la configuración de MFA
AWS es el líder de la industria por muchas razones. Amazon necesitaba estos servicios en la nube para sus operaciones. Se hizo evidente que ofrecer estos servicios a otros era una oportunidad comercial para Amazon con un gran potencial. Ahora, lo que comenzó como un negocio secundario para Amazon se ha convertido en una parte importante de la infraestructura mundial de Internet.
El uso del sistema AWS es casi omnipresente con el uso de Internet en su conjunto. Tómese el tiempo para configurar las políticas de IAM para proteger la seguridad con atención a los detalles. Administrar el sistema IAM es una alta prioridad para los administradores de red. Combine esto con auditorías regulares de seguridad de TI para descubrir cualquier problema potencial.