Comparación de nubes

Control de acceso granular de AWS IAM - El principio de mínimo privilegio logrado por el diseño basado en políticas

Explicamos la filosofía de diseño del control de acceso basado en políticas de AWS IAM y comparamos concretamente las diferencias de granularidad con Azure RBAC y GCP IAM.

約 5 分で読めます

La filosofía fundamental del diseño basado en políticas

La mayor característica de AWS IAM es el diseño donde el control de acceso se describe como documentos de política en JSON. Las políticas se componen de 4 elementos: Effect (Allow/Deny), Action (operación), Resource (recurso objetivo) y Condition (condición), y la combinación de estos permite un control de granularidad extremadamente fina. Por ejemplo, se puede expresar en un solo statement de política: permitir GetObject solo desde una dirección IP específica para objetos con un prefijo específico dentro de un bucket S3 específico. Esta filosofía de diseño ha sido consistente desde los primeros días de AWS, y a medida que los servicios han superado los 200, la expresividad de las políticas se ha expandido proporcionalmente.

Control dependiente del contexto mediante claves de condición

Lo que eleva decisivamente la granularidad de AWS IAM es el elemento Condition. Combinando claves de condición globales y específicas de servicio, se logra un control de acceso dependiente del contexto que va más allá del simple control a nivel de recurso. Por ejemplo, aws:SourceIp restringe la IP de origen, aws:RequestedRegion limita las regiones operables, y aws:PrincipalTag aplica control de acceso basado en etiquetas (ABAC). ABAC es particularmente poderoso en organizaciones grandes. Si se crea una política que solo permite acceso a recursos cuya etiqueta de proyecto coincide, cuando se añade un nuevo proyecto solo es necesario etiquetar los recursos sin modificar las políticas.

Diferencias de granularidad con Azure RBAC

El control de acceso de Azure se basa en RBAC (Role-Based Access Control). En Azure RBAC, las definiciones de rol se asignan a un ámbito (grupo de gestión, suscripción, grupo de recursos, recurso), y los roles definen listas de acciones con Actions y NotActions. La mayor diferencia con AWS IAM es la flexibilidad del control basado en condiciones. Azure también lanzó la asignación de roles condicional (ABAC) como GA en 2022, pero los tipos de recursos soportados están limitados a algunos como Storage Blob y Key Vault. AWS IAM soporta claves de condición para prácticamente todos los servicios, con una diferencia significativa en la amplitud de aplicación de ABAC.

Diferencias en el enfoque de diseño con GCP IAM

GCP IAM adopta control de acceso basado en roles, con 3 tipos: roles predefinidos, roles personalizados y roles básicos. Los roles predefinidos de GCP están preparados de forma granular para cada servicio, pero no alcanzan la flexibilidad de combinar condiciones arbitrarias en documentos de política como AWS. Las expresiones de condición de GCP IAM se escriben en CEL (Common Expression Language), pero los atributos soportados son limitados, y el ABAC basado en etiquetas de recursos se introdujo apenas como preview en 2023. Un mecanismo característico de GCP son las políticas IAM Deny, que permiten prohibir explícitamente operaciones específicas en niveles superiores de la jerarquía organizacional.

Enfoque práctico para lograr el mínimo privilegio

Para llevar el principio de mínimo privilegio de la teoría a la implementación, la clave es aprovechar las herramientas que proporciona AWS. IAM Access Analyzer analiza los logs de CloudTrail y genera automáticamente políticas que contienen solo las acciones realmente utilizadas. El método de comenzar la operación con permisos excesivos y luego reducir a una política basada en el uso real con Access Analyzer después de un período es un camino realista hacia el mínimo privilegio. IAM Policy Simulator permite probar previamente los resultados de evaluación de políticas, verificando que no haya denegaciones de acceso no intencionadas antes de aplicar en producción. Los SCP de Organizations establecen límites de permisos a nivel de cuenta.

Resumen

El diseño basado en políticas de AWS IAM permite un control de acceso de granularidad difícil de lograr en otras plataformas de nube mediante la combinación de Action, Resource y Condition. Azure RBAC tiene fortalezas en la claridad del modelo de asignación de roles, pero el alcance del control basado en condiciones es limitado. GCP IAM tiene un modelo de herencia de jerarquía de recursos simple, pero queda rezagado respecto a AWS en madurez de ABAC. Para lograr el principio de mínimo privilegio en la práctica, se combina la generación automática de políticas con Access Analyzer, la configuración de límites a nivel organizacional con SCP y las restricciones a nivel de rol con Permission Boundaries.

Artículos relacionados

La cobertura de más de 143 certificaciones de cumplimiento de AWS - Desde ISMAP hasta PCI DSS, superando a la competenciaExplicamos las más de 143 certificaciones de cumplimiento obtenidas por AWS centrándonos en ISMAP, SOC, PCI DSS y HIPAA, y comparamos la cobertura de certificaciones con Azure y GCP.El poder de integración de los servicios de seguridad de AWS - Detección nativa de amenazas sin SIEM, de GuardDuty a DetectiveExplicamos el mecanismo de detección nativa de amenazas mediante la integración de GuardDuty, Security Hub, Detective y Macie, comparando la diferencia de filosofía de diseño con Azure Sentinel.Cifrado y soberanía de datos en AWS - Aislamiento a nivel de hardware desde KMS hasta Nitro EnclavesExplicamos el cifrado a nivel de hardware y la garantía de soberanía de datos mediante AWS KMS, CloudHSM y Nitro Enclaves, comparando las diferencias de diseño con otras nubes.

Más sobre este tema

Amazon.com es el mayor cliente de AWS - El secreto de la calidad del servicio nacido del dogfooding internoA partir del hecho de que el sitio de comercio electrónico de Amazon.com, Prime Video y Alexa funcionan sobre AWS, explicamos cómo el dogfooding interno mejora la calidad del servicio y cómo la carga del Prime Day ha fortalecido el diseño de AWS.La estructura por capas de los servicios AI/ML de AWS - La flexibilidad que ofrecen las 3 capas de SageMaker, Bedrock y servicios tipo APIOrganizamos los servicios AI/ML de AWS en 3 capas: SageMaker (control total), Bedrock (IA generativa gestionada) y Rekognition, etc. (tipo API). A través de la comparación con GCP Vertex AI y Azure OpenAI Service, explicamos la flexibilidad de AWS incluyendo la integración con silicio personalizado.Análisis de datos y Data Lake en AWS - El ecosistema integrado de Athena, Glue, Lake Formation y RedshiftExplicamos el stack integrado de análisis de datos de AWS con Athena, Glue, Lake Formation, Redshift y QuickSight, comparándolo con Azure Synapse Analytics y GCP BigQuery, destacando la ventaja de AWS en el grado de integración del ecosistema completo.Compatibilidad retroactiva y estabilidad de las API de AWS - La confianza que genera la política de no deprecar APIs publicadasExplicamos el historial de AWS de mantener su política de no deprecar APIs una vez publicadas, comparándolo con los cambios de marca de Azure y los casos de discontinuación de servicios de GCP, y por qué la estabilidad de las API es importante para las empresas.El diseño de Availability Zones de AWS - La diferencia en confiabilidad que genera la separación física y el aislamiento de fallosExplicamos la filosofía de diseño de las AZ de AWS como grupos de centros de datos físicamente independientes, comparándolas con las zonas de disponibilidad de Azure y GCP, y analizamos la diferencia en madurez del aislamiento de fallos a partir de incidentes reales.El valor de mercado de las habilidades AWS y la prima salarial de las certificacionesAnalizamos el número de ofertas de empleo que requieren habilidades AWS, la prima salarial de los titulares de certificaciones y el impacto en la trayectoria profesional, comparándolo con Azure y GCP, para evaluar el retorno de inversión de obtener certificaciones AWS.La comunidad técnica y los recursos de aprendizaje de AWS - Desde re:Invent hasta JAWS-UGComparamos las comunidades técnicas como re:Invent, AWS Summit y JAWS-UG, y la riqueza de documentación y formación en japonés con Azure y GCP, explicando la ventaja del entorno de aprendizaje de AWS.La cobertura de más de 143 certificaciones de cumplimiento de AWS - Desde ISMAP hasta PCI DSS, superando a la competenciaExplicamos las más de 143 certificaciones de cumplimiento obtenidas por AWS centrándonos en ISMAP, SOC, PCI DSS y HIPAA, y comparamos la cobertura de certificaciones con Azure y GCP.

Artículos y servicios similares

Diseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.AWS IAMServicio de autenticación y autorización para controlar de forma segura el acceso a recursos AWS, proporcionando gestión de acceso granular mediante usuarios, grupos, roles y políticasDetección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.IAM Access AnalyzerServicio que analiza automáticamente las políticas de recursos en buckets S3, roles IAM y más, detectando accesos externos y permisos no utilizados para fortalecer la postura de seguridadIAM Access AnalyzerUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizados