セキュリティ

AWS IAM Identity Center

Servicio de inicio de sesión único (SSO) integrado con AWS Organizations que gestiona de forma centralizada el acceso a múltiples cuentas AWS y aplicaciones empresariales

Unos 3 min de lectura

Descripción general

AWS IAM Identity Center (anteriormente AWS SSO) es el servicio recomendado para gestionar el acceso humano a múltiples cuentas AWS y aplicaciones empresariales. Proporciona un portal de inicio de sesión único donde los usuarios se autentican una vez y acceden a todas las cuentas y aplicaciones asignadas sin credenciales adicionales.

Limitaciones de usuarios IAM y el desafío de autenticación multi-cuenta que resuelve Identity Center

Con usuarios IAM tradicionales, cada desarrollador necesita credenciales separadas en cada cuenta AWS, resultando en proliferación de access keys, dificultad para rotar credenciales y falta de visibilidad centralizada. Identity Center resuelve esto proporcionando una identidad única por persona que se mapea a permisos en múltiples cuentas. Los usuarios se autentican contra un directorio centralizado (directorio interno de Identity Center, Active Directory via AD Connector, o proveedor SAML externo como Okta/Azure AD) y obtienen acceso temporal a las cuentas asignadas sin access keys permanentes.

Estrategia de diseño de Permission Sets y práctica del mínimo privilegio

Los Permission Sets son plantillas de permisos que definen qué puede hacer un usuario en una cuenta específica. Se asignan a usuarios o grupos para cuentas específicas, creando la relación "quién puede hacer qué en dónde". Los Permission Sets pueden usar políticas gestionadas de AWS (ej: ReadOnlyAccess, PowerUserAccess), políticas inline personalizadas, o ambas. La estrategia recomendada es crear Permission Sets por rol funcional (Developer, DataEngineer, SecurityAuditor) en lugar de por persona, asignando usuarios a grupos que tienen los Permission Sets apropiados. Los Permissions Boundaries se pueden aplicar a Permission Sets para establecer límites máximos.

Integración con CLI/SDK y optimización de la experiencia del desarrollador

Identity Center se integra con AWS CLI v2 mediante perfiles SSO, eliminando la necesidad de access keys permanentes en máquinas de desarrollo. Con 'aws configure sso' se configura el perfil, y 'aws sso login' inicia una sesión del navegador para autenticación. Las credenciales temporales se cachean localmente y se renuevan automáticamente. Para SDKs, el credential provider chain resuelve automáticamente las credenciales SSO. En pipelines CI/CD, se usan roles IAM directamente (no Identity Center), ya que los pipelines son identidades de máquina, no humanas. La separación clara entre acceso humano (Identity Center) y acceso de máquina (roles IAM) es una práctica de seguridad fundamental.

共有するXB!

Términos relacionados

AWS IAMAWS OrganizationsAmazon CognitoAWS Control TowerAmazon GuardDuty

Servicios relacionados

AWS OrganizationsAWS IAMAWS Control TowerAWS CloudTrail

Artículos relacionados

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Lógica de evaluación de políticas IAM explicada - Cómo la denegación implícita pierde ante la autorización explícitaUna explicación paso a paso de cómo IAM evalúa las solicitudes para permitirlas o denegarlas, cubriendo la prioridad de denegación implícita, autorización explícita y denegación explícita, así como la lógica de intersección para SCPs, límites de permisos y políticas de sesión.

Términos y artículos similares

Inicio de sesión único con AWS IAM Identity Center - Gestión de acceso multi-cuentaLogra inicio de sesión único para entornos multi-cuenta y controla los niveles de acceso a cada cuenta con conjuntos de permisos. Cubre integración con IdP externo y uso de ABAC.AWS IAM Identity CenterServicio que proporciona inicio de sesión único en múltiples cuentas de AWS y aplicaciones SaaSDiseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.Active Directory administrado con AWS Directory Service - Gestion de identidades en entornos hibridosDisene la construccion de AWS Managed Microsoft AD y la relacion de confianza con AD on-premises. Presentamos la gestion de identidades hibrida mediante integracion con WorkSpaces, RDS y FSx.