Seguridad

Inicio de sesión único con AWS IAM Identity Center - Gestión de acceso multi-cuenta

Logra inicio de sesión único para entornos multi-cuenta y controla los niveles de acceso a cada cuenta con conjuntos de permisos. Cubre integración con IdP externo y uso de ABAC.

約 9 分で読めます

Descripcion general de IAM Identity Center

IAM Identity Center (anteriormente AWS SSO) es un servicio que centraliza el inicio de sesion unico y la gestion de acceso para entornos multi-cuenta. Los usuarios inician sesion en el portal de acceso de AWS y acceden a sus cuentas y aplicaciones asignadas con un solo clic. Esto elimina la necesidad de crear usuarios IAM en cada cuenta, eliminando fundamentalmente el riesgo de seguridad de credenciales dispersas. Se habilita desde la cuenta de gestion de Organizations o una cuenta de administrador delegado, aplicando control de acceso a todas las cuentas de la organizacion. Los protocolos soportados incluyen SAML 2.0 y OIDC, proporcionando acceso federado a la consola de administracion de AWS, CLI v2, SDK y aplicaciones de terceros compatibles con SAML (Salesforce, Slack, GitHub, etc.). Se inicia sesion con AWS Builder ID y se configuran conexiones a cuentas AWS para centralizar la gestion de destinos de despliegue.

Seleccion de fuente de identidad e integracion con IdP externo

IAM Identity Center soporta 3 fuentes de identidad. La primera es el directorio de Identity Center (integrado), adecuado para organizaciones pequenas o entornos de verificacion. La segunda es Active Directory (via AWS Managed Microsoft AD o AD Connector), que permite usar AD on-premises directamente. La tercera es IdP externo, delegando autenticacion via SAML 2.0 y ejecutando aprovisionamiento automatico de usuarios y grupos via SCIM 2.0. Okta, Microsoft Entra ID (anteriormente Azure AD), Google Workspace, OneLogin y Ping Identity soportan sincronizacion automatica via SCIM. Los cambios en usuarios y grupos realizados en el IdP se reflejan inmediatamente en IAM Identity Center. Deshabilitar un usuario en el IdP revoca inmediatamente el acceso a AWS, eliminando riesgos de seguridad por olvidos en la eliminacion de cuentas durante desvinculaciones.

Conjuntos de permisos y asignacion de acceso

Los conjuntos de permisos son colecciones de politicas IAM que pueden incluir politicas gestionadas por AWS como AdministratorAccess y ReadOnlyAccess, politicas personalizadas (escritas directamente en JSON) y referencias a politicas gestionadas por el cliente. Un unico conjunto de permisos puede contener hasta 10 politicas gestionadas y 1 politica en linea. Cuando asignas un conjunto de permisos a un usuario/grupo para una cuenta especifica, Identity Center crea automaticamente un rol IAM en esa cuenta. Tambien se pueden configurar limites de permisos, restringiendo el techo del conjunto de permisos con una politica IAM para aplicar el principio de minimo privilegio. La asignacion de acceso se define por la combinacion de tres factores: conjunto de permisos, cuenta AWS y usuario o grupo. Las asignaciones basadas en grupos hacen que agregar o eliminar miembros actualice automaticamente sus permisos.

ABAC y gestion de sesiones

IAM Identity Center soporta control de acceso basado en atributos (ABAC), otorgando dinamicamente permisos basados en atributos del usuario (departamento, cargo, proyecto, centro de costos). Los atributos SAML del IdP se mapean a etiquetas de sesion IAM, controlando el acceso mediante coincidencia con etiquetas de recursos. Por ejemplo, un usuario con department=engineering puede acceder solo a buckets S3 etiquetados con department=engineering, aplicado entre cuentas. La duracion de sesion es configurable por conjunto de permisos de 1 a 12 horas, con sesiones cortas (1 hora) para entornos de alta seguridad y sesiones mas largas (12 horas) para desarrollo. El portal de acceso AWS proporciona acceso con un clic a la consola o CLI, facilitando el cambio entre cuentas. ```bash # Ejemplo de configuracion de perfil SSO en CLI v2 (~/.aws/config) [profile dev-admin] sso_session = my-sso sso_account_id = 123456789012 sso_role_name = AdministratorAccess region = ap-northeast-1 [sso-session my-sso] sso_start_url = https://my-org.awsapps.com/start sso_region = ap-northeast-1 sso_registration_scopes = sso:account:access # Ejecutar inicio de sesion SSO aws sso login --profile dev-admin ``` El comando sso login de CLI v2 lanza un flujo de autenticacion basado en navegador, y tras completar la autenticacion, las credenciales temporales se cachean automaticamente. Esto elimina la necesidad de gestionar claves de acceso de largo plazo, mejorando la seguridad. Para una comprension mas profunda de IAM Identity Center, consulta libros relacionados en Amazon.

Mejores practicas de diseno y errores comunes

Al disenar conjuntos de permisos, sigue el principio de un conjunto por funcion laboral, asignando multiples conjuntos a un usuario para lograr separacion de responsabilidades. Por ejemplo, proporciona a los desarrolladores un conjunto DevOps (para despliegues) y un conjunto ReadOnly (para auditoria), asignando conjuntos diferentes para entornos de produccion versus desarrollo. Un error comun es la latencia de sincronizacion SCIM. Hay un retraso (tipicamente segundos a minutos) entre los cambios en el IdP y su reflejo en Identity Center, durante el cual persiste el acceso con permisos antiguos, por lo que se debe ejecutar sincronizacion manual para cambios de escalamiento de privilegios. Otra consideracion es la configuracion del administrador delegado. Al operar Identity Center desde una cuenta distinta a la de gestion, se designa una cuenta de administrador delegado, pero esta cuenta no puede tener asignaciones de conjuntos de permisos. Ademas, solo se puede habilitar una instancia de Identity Center por Organization, y la region es fija. En organizaciones multi-region, la seleccion de la region principal afecta la latencia del portal de acceso para todos los usuarios.

Comparacion con Cognito y otros enfoques de autenticacion

IAM Identity Center y Cognito son ambos servicios de autenticacion pero se dirigen a diferentes poblaciones de usuarios. IAM Identity Center es la base de autenticacion para empleados y desarrolladores que acceden a la consola de AWS o CLI, mientras que Cognito es un servicio de autenticacion y autorizacion para usuarios finales (clientes) de aplicaciones web/moviles. Cognito proporciona registro, login social y gestion de tokens, mientras que IAM Identity Center se especializa en acceso federado a cuentas AWS. Otros enfoques de gestion multi-cuenta incluyen crear usuarios IAM por cuenta (credenciales dispersas, alta carga operativa), AssumeRole entre cuentas (dificil de gestionar a escala con docenas de cuentas) y productos SSO de terceros (requieren cambios de configuracion del IdP por cada cuenta nueva). IAM Identity Center resuelve estos desafios integralmente mediante la integracion profunda con Organizations. La integracion con CloudTrail tambien registra automaticamente logs de auditoria sobre quien accedio a cual cuenta y cuando.

Precios de IAM Identity Center

IAM Identity Center es gratuito. No hay cargos adicionales por el numero de usuarios, grupos o sesiones SSO. La integracion con IdPs externos (Okta, Microsoft Entra ID, Google Workspace) via SAML/SCIM tambien es gratuita. Los costos se generan solo por los servicios AWS accedidos a traves de SSO. Las cuotas de servicio incluyen un limite de 100,000 usuarios por instancia, 100,000 grupos, 2,000 conjuntos de permisos y 50 asignaciones de conjuntos de permisos por cuenta. Habilita IAM Identity Center en todas las cuentas de Organizations y retira la creacion directa de usuarios IAM para mejorar simultaneamente la seguridad y la eficiencia operativa.

Resumen

IAM Identity Center es un servicio gratuito que centraliza SSO y la gestion de acceso para entornos multi-cuenta. Elige entre tres fuentes de identidad (directorio integrado, Active Directory, IdP externo) segun tu entorno, y define permisos combinando politicas gestionadas y personalizadas en conjuntos de permisos. ABAC permite asignacion dinamica de permisos basada en atributos del usuario, y los perfiles SSO de CLI v2 permiten autenticacion transparente desde la terminal. Disena conjuntos de permisos por funcion laboral y comprende las restricciones del administrador delegado y el comportamiento de region fija antes de implementar.

Servicios relacionados

AWS IAM Identity CenterServicio que proporciona inicio de sesión único en múltiples cuentas de AWS y aplicaciones SaaSAWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWSAmazon CognitoUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móviles

Artículos relacionados

Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Desarrollo de aplicaciones web full-stack con AWS Amplify - Despliegue con integración Git y construcción de backendConstruya entornos de despliegue automático por rama con integración GitHub, y defina autenticación, API y almacenamiento en TypeScript con Backend Gen 2. También compatible con SSR de Next.js.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS IAM Identity CenterServicio de inicio de sesión único (SSO) integrado con AWS Organizations que gestiona de forma centralizada el acceso a múltiples cuentas AWS y aplicaciones empresarialesDiseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.AWS IAMServicio de autenticación y autorización para controlar de forma segura el acceso a recursos AWS, proporcionando gestión de acceso granular mediante usuarios, grupos, roles y políticasActive Directory administrado con AWS Directory Service - Gestion de identidades en entornos hibridosDisene la construccion de AWS Managed Microsoft AD y la relacion de confianza con AD on-premises. Presentamos la gestion de identidades hibrida mediante integracion con WorkSpaces, RDS y FSx.