Herramientas de seguridad en IAM

Clase 16 de 20 • Curso Práctico de AWS: Roles y Seguridad con IAM

Nicolás Navarro Felizzola

student•

Credentials Report: Es un listado o reporte en CSV, que nos va a permitir revisar lo que está pasando con los usuarios; es decir, si tenemos credenciales actualizadas, cuando fue la última vez que las cambiaron, si tenemos el MFA habilitado entre otras cosas. El beneficio de este reporte es que nos permitirá tener un over-view general de cuantos usuarios tenemos en nuestra cuenta de AWS.
Acces Advisor: Nos va a mostrar a nivel granular todos los permisos por servicios. Esto quiere decir que si los usuarios tienen accesos a todos los servicios de AWS, nos generará un reporte de que servicios están ocupando realmente.

Estos reportes nos ayudan mucho a establecer el principio del mínimo privilegio para implementar políticas más adecuadas y seguras en nuestra cuenta AWS, como también generar auditorias de nuestra cuenta de manera más efectiva.

Juan Manuel Hincapié

student•

Herramientas

Reporte de credenciales

Listado en .CSV que nos permite revisar qué está pasando con nuestros usuarios

Credenciales
MFA
Overview de usuarios

Asesor de accesos

Permisos por servicio
Cuando accedieron a ellos
Qué hicieron
Los usuarios deben comenzar con los mínimos permisos y se van agregando los que necesiten

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Mario Alexander Vargas Celis

student•

🔒 Herramientas de Seguridad en IAM (Identity and Access Management) en AWS

IAM proporciona varias herramientas y mejores prácticas para mejorar la seguridad de los accesos en AWS. A continuación, se presentan algunas de las más importantes:

✅ 1. Uso de Multi-Factor Authentication (MFA)

MFA agrega una capa adicional de seguridad al requerir un código temporal además de la contraseña. 📌 Herramienta: IAM permite habilitar MFA para usuarios de la cuenta de AWS.

💡 Práctica recomendada:

Habilitar MFA para usuarios root y administradores.
Utilizar MFA basado en hardware o aplicaciones como Google Authenticator o AWS Virtual MFA.

🔗 Configuración IAM MFA

✅ 2. IAM Access Analyzer

📌 Función: Identifica permisos excesivos y posibles riesgos de acceso a recursos de AWS. 📌 Herramienta: AWS IAM Access Analyzer.

💡 Práctica recomendada:

Revisar permisos públicos en buckets S3, roles IAM, y políticas de acceso.
Configurar alertas cuando se detecten permisos abiertos innecesarios.

🔗 IAM Access Analyzer

✅ 3. AWS IAM Credential Report

📌 Función: Genera un informe con información sobre credenciales de los usuarios IAM.

💡 Práctica recomendada:

Revisar credenciales que no se han usado en los últimos 90 días.
Eliminar Access Keys no utilizadas.

📌 Ejemplo de generación del informe (AWS CLI):

aws iam generate-credential-report aws iam get-credential-report

🔗 Credenciales de IAM

✅ 4. AWS IAM Policy Simulator

📌 Función: Permite probar políticas IAM antes de aplicarlas. 📌 Herramienta: AWS IAM Policy Simulator.

💡 Práctica recomendada:

Validar políticas antes de aplicarlas a roles, usuarios o grupos.
Probar si un usuario tiene permisos específicos para evitar configuraciones incorrectas.

🔗 IAM Policy Simulator

✅ 5. AWS CloudTrail

📌 Función: Registra todas las acciones realizadas en IAM y otros servicios de AWS.

💡 Práctica recomendada:

Habilitar CloudTrail para auditar accesos y cambios en IAM.
Configurar alertas en AWS CloudWatch para detectar accesos sospechosos.

🔗 AWS CloudTrail

✅ 6. AWS Organizations y SCP (Service Control Policies)

📌 Función: Permite restringir accesos a cuentas en AWS Organizations mediante SCPs.

💡 Práctica recomendada:

Usar SCPs para bloquear servicios o regiones no permitidas.
Aplicar el principio de mínimos privilegios en todas las cuentas.

🔗 AWS Organizations

✅ 7. IAM Roles y Access Keys Rotations

📌 Función: Los roles IAM eliminan la necesidad de usar Access Keys en instancias EC2 y otros servicios.

💡 Práctica recomendada:

Usar roles IAM en lugar de Access Keys.
Si es necesario usar Access Keys, rotarlas periódicamente.

🔗 Rotación de claves

🚀 Conclusión

Estas herramientas ayudan a fortalecer la seguridad en AWS IAM. Implementarlas reducirá riesgos y mejorará la administración de accesos en la nube. 🔐✨

Jhon Freddy Tavera Blandon

student•

Políticas IAM

Las políticas IAM son documentos JSON que definen los permisos para las acciones que se pueden realizar sobre los recursos de AWS. Existen varios tipos de políticas:

Políticas Gestionadas por AWS: Estas son políticas predefinidas que AWS proporciona para tareas comunes.
Políticas Gestionadas por el Cliente: Estas son políticas creadas y gestionadas por el usuario para satisfacer necesidades específicas.
Políticas en Línea: Asociadas directamente a un usuario, grupo o rol, estas políticas definen permisos específicos para una entidad particular.

Grupos y Roles

Grupos IAM: Permiten agrupar varios usuarios IAM y gestionar permisos de manera colectiva en lugar de individual.
Roles IAM: Utilizados para delegar permisos de forma temporal a usuarios, servicios o aplicaciones. Los roles se configuran con políticas de confianza que definen quién puede asumir el rol y políticas de permisos que definen qué acciones puede realizar el rol.

Multi-Factor Authentication (MFA)

MFA añade una capa adicional de seguridad, requiriendo no solo una contraseña, sino también un código de autenticación temporal generado por un dispositivo MFA.

Access Analyzer

IAM Access Analyzer permite identificar recursos en tu cuenta que son accesibles desde fuera de tu organización. Esto ayuda a asegurar que los recursos expuestos públicamente o compartidos con cuentas externas sean identificados y revisados.

AWS Organizations

AWS Organizations permite gestionar múltiples cuentas de AWS de manera centralizada. Puedes aplicar políticas de control de servicios (SCPs) para definir permisos a nivel de organización y administrar la facturación centralizada.

AWS CloudTrail

CloudTrail registra todas las acciones realizadas en tu cuenta de AWS, proporcionando visibilidad completa sobre las actividades de los usuarios y servicios. Esto es crucial para auditorías y seguimiento de actividades sospechosas.

Jeisson Espinosa

student•

Información resumida de esta clase #EstudiantesDePlatzi

Puedo generar un reporte de credenciales donde me puedo enterar como tengo configurado los accesos
El otro reporte que puedo generar es el asesor de acceso en donde me puedo enterar de todos los permisos por servicio

DAVID GOMEZ CORTES

student•

Herramientas de seguridad / control

-Reporte de credenciales -Reporte Asesor de accesos