Práctica de las herramientas de seguridad
Clase 17 de 20 • Curso Práctico de AWS: Roles y Seguridad con IAM
Contenido del curso
Julian David Gomez Londoño
student•
hace 4 años
Diego Fernando Ramos Aguirre
student•
hace 3 años
Clase 17 de 20 • Curso Práctico de AWS: Roles y Seguridad con IAM
Contenido del curso
Julian David Gomez Londoño
Diego Fernando Ramos Aguirre
Miguel Angel Ortiz Escobar
DAVID GOMEZ CORTES
Mario Alexander Vargas Celis
Luz Amanda Quilindo Celis
Victor Rodriguez
Luis Santiago Cortés Hernández
Mario Alexander Vargas Celis
Jeisson Espinosa
William Schnaider Torres Bermon
Para modificar la politica de contraseñas, se debe ingresar a la opcion de "Account Settings" en el servicio de IAM, y se despliega el formulario para modificar la politica a nuestra necesidad:
Gracias por el aporte.
Servicios de seguridad en IAM
Credential Report
Puede generar y descargar un informe de credenciales que contenga una lista de todos los usuarios de su cuenta y el estado de sus credenciales, tales como contraseñas, claves de acceso y dispositivos MFA. Puede obtener un informe de credenciales de la AWS Management Console, los [SDK de AWS] y las [herramientas de línea de comandos] o la API de IAM.
Puede utilizar los informes de credenciales para fines de auditoría y conformidad. Puede utilizar el informe para auditar los efectos de los requisitos del ciclo de vida de las credenciales, como la rotación de contraseñas y claves de acceso. Puede proporcionar el informe a un auditor externo o conceder permisos a un auditor, para que pueda descargar el informe directamente.
Puede generar un informe de credenciales cada cuatro horas. Al solicitar un informe, IAM primero comprueba si se ha generado algún informe para la cuenta de AWS en las últimas cuatro horas. En caso afirmativo, se descarga el informe más reciente. Si el informe más reciente de la cuenta es de hace más de cuatro horas, o si no hay informes anteriores de la cuenta, IAM genera y descarga un nuevo informe.
Access Advisor
El asesor de acceso de AWS Identity and Access Management (IAM) utiliza análisis de datos para ayudarlo a definir con confianza barreras de protección para permisos mediante el suministro de la [última información de servicios a la que se obtuvo acceso] en relación con sus cuentas, unidades organizativas (OU) y su organización administrada por AWS Organizations. Las barreras de protección para permisos lo ayudan a controlar a qué servicios podrán obtener acceso los desarrolladores y las aplicaciones. Analizar la última información a la que se obtuvo acceso le permite determinar qué servicios no fueron utilizados por los usuarios y roles de IAM. Puede implementar barreras de protección para permisos con políticas de control de servicios (SCP) que restrinjan el acceso a dichos servicios.
IAM ++Credencial Report:++ Reporte completo de lo que están haciendo los usuarios. ++Access Advisor:++ Listado de los servicios a los que ha accedido el usuario
Aquí tienes una práctica guiada para aplicar las herramientas de seguridad en IAM (Identity and Access Management) en AWS.
🛠 Práctica de Herramientas de Seguridad en IAM
📌 Objetivo:
🔷 Requisitos: ✅ Tener una cuenta de AWS con permisos de administrador. ✅ Tener AWS CLI configurado en tu sistema.
1️⃣ Habilitar MFA en un usuario IAM
Paso 1: Inicia sesión en la consola de AWS y ve a IAM → Usuarios. Paso 2: Selecciona un usuario y haz clic en la pestaña Credenciales de inicio de sesión. Paso 3: En la sección de MFA, haz clic en Asignar MFA y sigue los pasos para configurar un dispositivo MFA (Google Authenticator o un token físico).
📌 Verificación:
2️⃣ Generar un informe de credenciales IAM
Paso 1: Ejecuta el siguiente comando en AWS CLI:
aws iam generate-credential-report aws iam get-credential-report --output text > credential_report.csv
📌 Verificación:
credential_report.csv y revisa el estado de las credenciales de los usuarios.💡 Acción recomendada:
3️⃣ Simular una política IAM antes de aplicarla
Paso 1: Ve a AWS IAM Policy Simulator. Paso 2: Selecciona un usuario o rol IAM. Paso 3: Agrega una política JSON y haz clic en Run Simulation para verificar qué acciones están permitidas.
📌 Verificación:
4️⃣ Configurar CloudTrail para auditar eventos en IAM
Paso 1: Ve a la consola de AWS CloudTrail. Paso 2: Crea un nuevo Trail con almacenamiento en un bucket de S3. Paso 3: Habilita la opción de registrar eventos de IAM.
📌 Verificación:
5️⃣ Usar Access Analyzer para identificar accesos innecesarios
Paso 1: Ve a IAM → Access Analyzer en la consola de AWS. Paso 2: Crea un nuevo analizador. Paso 3: Revisa los reportes para identificar accesos abiertos al público o a otras cuentas de AWS.
📌 Verificación:
🚀 Conclusión
Con esta práctica, has aplicado herramientas clave para proteger IAM en AWS. Repite estos pasos regularmente para mantener una seguridad óptima. 🔐🚀
Para el segundo reto seria descargar el archivo y filtar por los mfa_active ? asi tendremos los usuarios que usan este servicio
Así es Luz, esa también pensé
Ingresa en "IAM" luego en le da clic en "account settings" y finalmente das clic en "change password policy"
Espero que te ayude.
Práctica de las herramientas de seguridad
Información resumida de esta clase #EstudiantesDePlatzi
Con el credential report puedo saber lo que estan haciendo los usuarios
Puedo ver los últimos servicios que ha usado los usuarios dentro de AWS
Credential reports
You can generate and download a credential report that lists all users in your account and the status of their various credentials, including passwords, access keys, and MFA devices. You can get a credential report from the AWS Management Console, the AWS SDKs and Command Line Tools, or the IAM API.
You can use credential reports to assist in your auditing and compliance efforts. You can use the report to audit the effects of credential lifecycle requirements, such as password and access key rotation. You can provide the report to an external auditor, or grant permissions to an auditor so that he or she can download the report directly.
You can generate a credential report as often as once every four hours. When you request a report, IAM first checks whether a report for the AWS account has been generated within the past four hours. If so, the most recent report is downloaded. If the most recent report for the account is older than four hours, or if there are no previous reports for the account, IAM generates and downloads a new report.