Seguridad

Diseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAM

Aprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.

約 4 分で読めます

Principios fundamentales de la gestión de acceso en la nube

La seguridad en entornos de nube comienza con una gestión de acceso adecuada. AWS Identity and Access Management (IAM) es un servicio para controlar de forma segura el acceso a los recursos de AWS, construido alrededor de cuatro elementos: usuarios (identidades individuales), grupos (colecciones de usuarios), roles (credenciales temporales para servicios y aplicaciones) y políticas (documentos JSON que definen permisos). El principio de mínimo privilegio - otorgar solo los permisos mínimos necesarios - es la base del diseño de seguridad en la nube.

Diseño de políticas IAM y mejores prácticas

Las políticas IAM se escriben en formato JSON y consisten en cuatro elementos: Effect (permitir/denegar), Action (operación), Resource (recurso objetivo) y Condition. Las políticas gestionadas por AWS son políticas predefinidas para casos de uso comunes (AdministratorAccess, ReadOnlyAccess, PowerUserAccess). Las políticas gestionadas por el cliente permiten definir permisos personalizados adaptados a tus requisitos específicos. Las políticas en línea se adjuntan directamente a un usuario, grupo o rol y son adecuadas para permisos únicos que no se reutilizan. La mejor práctica es usar políticas gestionadas por el cliente para la mayoría de los casos y reservar las políticas en línea para excepciones. Para una comprensión más profunda de IAM, consulta libros relacionados en Amazon.

Roles IAM y acceso entre cuentas

Los roles IAM son un mecanismo para delegar acceso usando credenciales de seguridad temporales, evitando el uso de claves de acceso a largo plazo. Al asignar roles a servicios de AWS como perfiles de instancia EC2, roles de ejecución de Lambda y roles de tarea de ECS, los servicios obtienen los permisos necesarios sin claves de acceso estáticas. El acceso entre cuentas permite que un rol en la Cuenta A sea asumido por entidades en la Cuenta B, habilitando el acceso seguro a recursos entre cuentas. La federación de identidades permite que usuarios autenticados por proveedores de identidad externos (SAML 2.0, OIDC) asuman roles IAM y accedan a recursos de AWS.

Autenticación de usuarios finales con integración de Cognito

Mientras que IAM maneja el control de acceso para recursos de AWS, la integración con Amazon Cognito es efectiva para la autenticación de usuarios finales. Una arquitectura común usa grupos de usuarios de Cognito para la autenticación de usuarios (registro, inicio de sesión, MFA) y grupos de identidades de Cognito para intercambiar tokens de Cognito por credenciales IAM temporales. Esto permite que las aplicaciones móviles y web accedan directamente a servicios de AWS (S3, DynamoDB) con permisos de alcance limitado basados en la identidad del usuario. El control de acceso basado en atributos (ABAC) usa etiquetas de sesión para otorgar permisos dinámicamente basados en atributos del usuario.

Precios de IAM

IAM es completamente gratuito. No hay límites en el número de usuarios, grupos, roles o políticas que puedes crear (dentro de las cuotas de servicio), y las llamadas API no se cobran. IAM Identity Center (SSO) también es gratuito. Cognito cobra por usuarios activos mensuales (MAU): los primeros 50.000 MAU son gratuitos, luego aproximadamente $0,0055 por MAU. Para la mayoría de las organizaciones, IAM no representa ningún costo directo.

Resumen

AWS IAM es el núcleo de la gestión de acceso en entornos de nube, proporcionando control de permisos detallado a través de usuarios, roles y políticas sin costo. El diseño de políticas basado en el principio de mínimo privilegio, los roles IAM para credenciales temporales y la integración con Cognito para autenticación de usuarios finales forman la base de la seguridad Zero Trust. IAM Access Analyzer ayuda a identificar recursos compartidos externamente y validar políticas contra las mejores prácticas.

Servicios relacionados

AWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWSAmazon CognitoUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móviles

Artículos relacionados

Implementación de autenticación de usuarios - Construcción de una base de autenticación segura con CognitoExplicamos el diseño e implementación de una base de autenticación de usuarios con Amazon Cognito, presentando la construcción de flujos de autenticación con User Pools, Identity Pools e integración con proveedores de identidad externos.Entorno de shell basado en navegador - Acceso CLI instantáneo con AWS CloudShellExplica el entorno de shell basado en navegador con AWS CloudShell. Cubre el entorno CLI disponible instantáneamente desde la consola de administración de AWS, herramientas de desarrollo preinstaladas, integración automática de autenticación IAM, gestión segura de archivos y consejos prácticos para mejorar la eficiencia operativa.Protección de privacidad de datos - Detección automática de datos confidenciales y defensa contra amenazas con Amazon Macie y GuardDutyDetección automática de datos confidenciales en S3 con Amazon Macie e inteligencia de amenazas con Amazon GuardDuty para protección integral de privacidad de datos. Desde identificación de información personal hasta detección de amenazas en tiempo real.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS IAMServicio de autenticación y autorización para controlar de forma segura el acceso a recursos AWS, proporcionando gestión de acceso granular mediante usuarios, grupos, roles y políticasImplementación de autenticación de usuarios - Construcción de una base de autenticación segura con CognitoExplicamos el diseño e implementación de una base de autenticación de usuarios con Amazon Cognito, presentando la construcción de flujos de autenticación con User Pools, Identity Pools e integración con proveedores de identidad externos.Control de acceso granular de AWS IAM - El principio de mínimo privilegio logrado por el diseño basado en políticasExplicamos la filosofía de diseño del control de acceso basado en políticas de AWS IAM y comparamos concretamente las diferencias de granularidad con Azure RBAC y GCP IAM.Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.