SlideShare una empresa de Scribd logo

AWS Summit Bogotá Track Avanzado: Mejores Prácticas de Seguridad para IAM (Identity and Access Management)

Amazon Web Services
Amazon Web Services

Presentación del Track Avanzado del Summit de AWS en Bogotá: Mejores Prácticas de Seguridad para IAM (Identity and Access Management) #AWSSummitBogota

Tecnología
1 de 46
Descargar para leer sin conexión
Mejores Practicas de Seguridad para IAM (Identity and Access Management) Jesus Bonequi Olvera Solutions Architect
Agenda • Seguridad en AWS • Resumen de IAM • Mejores practicas de IAM para incrementar la seguridad de su infraestructura en la nube • Demostracion
La seguridad es nuestra prioridad #1
La seguridad es una responsabilidad compartida
AWS • Edificios • Seguridad Física • Infraestructura Física • Infraestructura de red • Infraestructura de virtualización • Sistemas operativos • Aplicaciones • Grupos de seguridad • Firewalks y SO • Configuración de red • Administración de cuentas Cliente
¿Cómo es que AWS obtiene su seguridad? • Acceso físico es grabado en video, almacenado y revisado • Existe una autenticación Multi-factor para el acceso físico • Segregación de responsabilidades: Personal con acceso físico Vs. Personal con acceso lógico Y Cada 90 días…
¿Cómo es que AWS obtiene su seguridad?
¿Cómo es que AWS obtiene su seguridad?
Las evidencias comprueban que AWS cumple • Certificaciones • Auditorias y & Certificación – Independientes por 3os – Refrescados frecuentemente – Disponibles para nuestros clientes aws.amazon.com/compliance
Certificaciones y Approving Industry Bodies
Seguridad en IAM
AWS Identity and Access Management (IAM) Le permite a usted controlar quien puede hacer que en su cuenta de AWS • Usuarios, Grupos, Roles, Permisos • Controlar… – Centralizado – Granularidad fina - APIs, recursos, y la consola de administración de AWS • Seguridad… – Segura (negar) por omisión – Múltiples usuarios, credenciales de seguridad y permisos individuales
Mejores practicas de IAM
Los 10 mejores practicas (bueno 11) 0. Usuarios 1. Permisos 2. Grupos 3. Condiciones 4. Auditoria 5. Contraseñas 6. Rotación 7. MFA 8. Compartir 9. Roles 10.Root
0. Usuarios Crear usuarios individuales
0. Crear usuarios individuales Beneficios • Credenciales únicas • Rotación individual de credenciales • Permisos Individuales Como iniciar • Identifica que usuarios necesitamos crear dentro de IAM • Utilice la consola, CLI o API para: - Crear usuarios - Asignar credenciales - Asignar permisos
1. Permisos Otorgue el menor privilegio
1. Otorgue el menor privilegio Beneficios • Menor oportunidad de que la persona ocurra en un error • Es mas fácil relajar la seguridad que incrementarla • Mayor control granular – API y resource Como iniciar • Identifique cuales son los permisos requeridos • Contraseñas o access keys? • Evite asignar políticas *:* • Default Deny • Utilice los ”policy templates” NOTA IMPORTANTE: Los permisos no aplican a root!
2. Grupos Administre los permisos con grupos
2. Administre los permisos con grupos Beneficios • Mas sencillo de asignar los mismos permisos a múltiples usuarios • Mas sencillo reasignar los cambios en los permisos basados en responsabilidades • Solo es necesario un cambio para actualizar los permisos de múltiples usuarios Como iniciar • Empate los permisos a funciones especificas del negocio • Asigne los usuarios a esa función • Administre los grupos en su sección dentro de la consola de IAM
3. Condiciones Restringa los privilegios de acceso con condiciones
3. Restringa los privilegios de acceso con condiciones Beneficios • Granularidad adicional cuando se definen los permisos • Puede ser utilizada para cualquier servicio API de AWS • Minimiza el riesgo de realizar una acción privilegiada de manera accidental Como iniciar • Utilice las condiciones cuando aplique • Dos tipos de condiciones - AWS common - Service-specific
Restringa los privilegios de acceso con condiciones { "Statement":[{ "Effect":"Allow", "Action":["ec2:TerminateInstances"], "Resource":["*"], "Condition":{ "Null":{"aws:MultiFactorAuthAge":"false"} } } ] } Enables a user to terminate EC2 instances only if the user has authenticated with their MFA device. MFA { "Statement":[{ "Effect":"Allow", "Action":"iam:*AccessKey*", "Resource”:"arn:aws:iam::123456789012:user/*", "Condition":{ "Bool":{"aws:SecureTransport":"true"} } } ] } Enables a user to manage access keys for all IAM users only if the user is coming over SSL. SSL { "Statement":[{ "Effect":"Allow", "Action":["ec2:TerminateInstances“], "Resource":["*“], "Condition":{ "IpAddress":{"aws:SourceIP":"192.168.176.0/24"} } } ] } Enables a user to terminate EC2 instances only if the user is accessing Amazon EC2 from the 192.168.176.0/24 address range. SourceIP { "Statement":[{ "Effect": "Allow", "Action":"ec2:TerminateInstances", "Resource": "*", "Condition":{ "StringEquals":{"ec2:ResourceTag/Environment":"Dev"} } } ] } Enables a user to terminate EC2 instances only if the instance is tagged with “Environment=Dev”. Tags { "Sid": "ThisBitGrantsAccessToResourcesForTerminateInstances", "Effect": "Allow", "Action":"ec2:TerminateInstances", "Resource": "*", "Condition": { "StringEquals": {"ec2:ResourceTag/Environm { "Sid": "ThisBitGrantsAccessToResourcesForTerminateInstances", "Effect": "Allow", "Action":"ec2:TerminateInstances", "Resource": "*", "Condition": { "StringEquals": {"ec2:ResourceTag/Environment": { "Sid": "ThisBitGrantsAccessToResourcesForTerminateInstances", "Effect": "Allow", "Action":"ec2:TerminateInstances", "Resource": "*", "Condition": { "StringEquals": {"ec2:ResourceTag/Environment":
4. Auditoria Habilite AWS CloudTrail para generar logs de las llamadas API
4. Habilite AWS CloudTrail para generar logs de las llamadas API Beneficios • Da visibilidad de la actividad de usuarios al grabar las llamadas API de AWS en una cubeta de Amazon S3 Como iniciar • Configure una cubeta de Amazon S3 • Habilite AWS CloudTrail Asegure que los servicios estén integrados con AWS CloudTrail
Demostracion Administración de usuarios y permisos
5. Contraseñas Configure una política de uso de contraseñas robusta
5. Configure una política de contraseñas robusta Beneficios • Asegura que los usuarios y los datos están protegidos Como iniciar • Cual es la política de contraseñas de su compañía • Se puede configurar - Password expiration - Password strength • Uppercase, lowercase, numbers, non-alphanumeric - Password re-use NOTA IMPORTANTE: La policía de contraseñas no aplica a root
6. Rotacion Rote (o elimine) regularmente las credenciales de seguridad
6. Rote/elimine las credenciales de seguridad regularmente Beneficios • Mejor practica común Como iniciar • Utilice los reportes de credenciales para identificar cuales deben ser rotadas o eliminadas • La consola IAM despliega cuando fue usado la contraseña • Otorgue permisos de usuarios IAM para rotar credenciales • Roles IAM para Amazon EC2 rotan credenciales automáticamente
Habilite la rotación de credenciales IAM para los usuarios (enable password rotation sample policy) Password { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:ChangePassword", "Resource": "arn:aws:iam::123456789012:user/${aws:username}" } ] } Enforcing a password policy will automatically enable IAM users to manage their passwords Observe el uso de una política variable
Habilite la rotación de credenciales IAM para los usuarios (enable access key rotation sample policy) Access Keys { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:ListAccessKeys", "iam:UpdateAccessKey"], "Resource": "arn:aws:iam::123456789012:user/${aws:username}" } ] }
Habilite la rotación de credenciales IAM para los usuarios (enable access key rotation sample policy) Access Keys { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:ListAccessKeys", "iam:UpdateAccessKey"], "Resource": "arn:aws:iam::123456789012: user/${aws:username}" } ] } 1. While the first set of credentials is still active, create a second set of credentials, which will also be active by default. 2. Update all applications to use the new credentials. 3. Change the state of the first set of credentials to Inactive. 4. Using only the new credentials, confirm that your applications are working well. 5. Delete the first set of credentials. Steps to rotate access keys
7. MFA Habilite la autenticación multi factor para usuarios privilegiados
7. Habilite MFA para usuarios privilegiados Beneficios • Suplemente para la autenticación de usuario y contraseña que requiere un código único Como iniciar • Escoja un tipo de MFA - Virtual MFA - Hardware • Utilice la consola IAM para asignar un dispositivo MFA
8. Compartir Utilice los roles IAM para compartir accesos
8. Utilice roles IAM para compartir acceso Beneficios • Sin necesidad de compartir las credenciales de seguridad • Sin necesidad de almacenar las credenciales a largo plazo • Fáciles de romper “sharing relationship” • Casos de uso - Cross-account access - Intra-account delegation - Federación Como iniciar • Crear un rol - Especifica en quien confías - Describa que es lo que el rol puede hacer • Comparta el nombre del rol • Utilice un ExternalID cuando comparta con un tercero NOTA IMPORTANTE: Nunca comparta las credenciales.
prod@example.com Acct ID: 111122223333 ddb-role { "Statement": [ { "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*" }]} dev@example.com Acct ID: 123456789012 Authenticate with Jeff access keys Get temporary security credentials for ddb-role Call AWS APIs using temporary security credentials of ddb-role { "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::111122223333:role/ddb-role" }]} { "Statement": [ { "Effect":"Allow", "Principal":{"AWS":"123456789012"}, "Action":"sts:AssumeRole" }]} Como trabaja el compartir ddb-role trusts IAM users from the AWS account dev@example.com (123456789012) Permissions assigned to Jeff granting him permission to assume ddb-role in account B IAM user: Jeff Permissions assigned to ddb-role STS External access User Login con Amazon Google Facebook Open ID Connect SAML Authenticate with Users tokens
9. Roles Utilice roles IAM para instancias de Amazon EC2
9. Utilice roles IAM para instancias de Amazon EC2 Beneficios • Access Keys fáciles de administrar en instancias EC2 • Rotación de llaves automáticas • Asigne el menor privilegio a la aplicación • Completamente integrado con AWS SDKs • Completamente integrado con AWS CLI Como iniciar • Cree un rol de IAM • Asigne permisos al rol • Lance instancias con el rol • Si no utiliza SDK, firme todas las peticiones a los servicios AWS con las credenciales temporales del rol
Demo Administración de credenciales
10. Root Reduzca o elimine el uso de root
10. Reduzca o elimine el uso de root Beneficios • Reduzca el mal uso potencial de las credenciales Como iniciar • Pagina de “Security Credentials” - Borrar “access keys” - Active un dispositivo MFA • Asegure que haya implementado una contraseña robusta
Resumen de las mejores Practicas IAM 0. Usuarios – Genere usuarios individuales 1. Permisos – Otorgue el menor privilegio 2. Grupos – Administre los permisos mediante grupos 3. Condiciones – Restringa el acceso privilegiado con condiciones 4. Auditoria – Habilite AWS CloudTrail para obtener bitácoras de llamadas API 5. Contraseñas – Configure una política de contraseñas robusta 6. Rotación – Rote/Borre las credenciales de seguridad regularmente 7. MFA – Habilite MFA para usuarios privilegiados 8. Comparta – Utilice roles IAM para compartir accesos 9. Roles – Utilice roles IAM para instancias EC2 10. Root – Reduzca o elimine el uso de root
Recursos Adicionales • Pagina detallada de IAM: http://aws.amazon.com/iam • Foros AWS: https://forums.aws.amazon.com/forum.jspa?forumID=76 • Documentación: http://aws.amazon.com/documentation/iam/ • Blog de Seguridad AWS : http://blogs.aws.amazon.com/security • Pagina de AWS CloudTrail: http://aws.amazon.com/cloudtrail/ • Twitter: @AWSIdentity
Muchas gracias

Recomendados

Oracle WebCenter Sites para clientes FatWire, Enero 2012
Oracle WebCenter Sites para clientes FatWire, Enero 2012Oracle WebCenter Sites para clientes FatWire, Enero 2012
Oracle WebCenter Sites para clientes FatWire, Enero 2012Jaime Cid
 
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)avanttic Consultoría Tecnológica
 
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)avanttic Consultoría Tecnológica
 
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...Amazon Web Services
 
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...Amazon Web Services
 
Esegui pod serverless con Amazon EKS e AWS Fargate
Esegui pod serverless con Amazon EKS e AWS FargateEsegui pod serverless con Amazon EKS e AWS Fargate
Esegui pod serverless con Amazon EKS e AWS FargateAmazon Web Services
 
Costruire Applicazioni Moderne con AWS
Costruire Applicazioni Moderne con AWSCostruire Applicazioni Moderne con AWS
Costruire Applicazioni Moderne con AWSAmazon Web Services
 
Come spendere fino al 90% in meno con i container e le istanze spot
Come spendere fino al 90% in meno con i container e le istanze spot Come spendere fino al 90% in meno con i container e le istanze spot
Come spendere fino al 90% in meno con i container e le istanze spot Amazon Web Services
 

Recomendados

Oracle WebCenter Sites para clientes FatWire, Enero 2012
Oracle WebCenter Sites para clientes FatWire, Enero 2012Oracle WebCenter Sites para clientes FatWire, Enero 2012
Oracle WebCenter Sites para clientes FatWire, Enero 2012Jaime Cid
 
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)
avanttic - webinar: Oracle Seguridad-Gobierno de la Seguridad (25-06-2015)avanttic Consultoría Tecnológica
 
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)
avanttic - webinar: Oracle Seguridad-Regulación (02-07-2015)avanttic Consultoría Tecnológica
 
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...
Come costruire servizi di Forecasting sfruttando algoritmi di ML e deep learn...Amazon Web Services
 
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...Big Data per le Startup: come creare applicazioni Big Data in modalità Server...
Big Data per le Startup: come creare applicazioni Big Data in modalità Server...Amazon Web Services
 
Esegui pod serverless con Amazon EKS e AWS Fargate
Esegui pod serverless con Amazon EKS e AWS FargateEsegui pod serverless con Amazon EKS e AWS Fargate
Esegui pod serverless con Amazon EKS e AWS FargateAmazon Web Services
 
Costruire Applicazioni Moderne con AWS
Costruire Applicazioni Moderne con AWSCostruire Applicazioni Moderne con AWS
Costruire Applicazioni Moderne con AWSAmazon Web Services
 
Come spendere fino al 90% in meno con i container e le istanze spot
Come spendere fino al 90% in meno con i container e le istanze spot Come spendere fino al 90% in meno con i container e le istanze spot
Come spendere fino al 90% in meno con i container e le istanze spot Amazon Web Services
 
Open banking as a service
Open banking as a serviceOpen banking as a service
Open banking as a serviceAmazon Web Services
 
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...Amazon Web Services
 
OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...Amazon Web Services
 
Microsoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows WorkloadsMicrosoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows WorkloadsAmazon Web Services
 
Computer Vision con AWS
Computer Vision con AWSComputer Vision con AWS
Computer Vision con AWSAmazon Web Services
 
Database Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatareDatabase Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatareAmazon Web Services
 
Crea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJSCrea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJSAmazon Web Services
 
API moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e webAPI moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e webAmazon Web Services
 
Database Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatareDatabase Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatareAmazon Web Services
 
Tools for building your MVP on AWS
Tools for building your MVP on AWSTools for building your MVP on AWS
Tools for building your MVP on AWSAmazon Web Services
 
How to Build a Winning Pitch Deck
How to Build a Winning Pitch DeckHow to Build a Winning Pitch Deck
How to Build a Winning Pitch DeckAmazon Web Services
 
Building a web application without servers
Building a web application without serversBuilding a web application without servers
Building a web application without serversAmazon Web Services
 
Fundraising Essentials
Fundraising EssentialsFundraising Essentials
Fundraising EssentialsAmazon Web Services
 
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...Amazon Web Services
 
Introduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container ServiceIntroduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container ServiceAmazon Web Services
 
Come costruire un'architettura Serverless nel Cloud AWS
Come costruire un'architettura Serverless nel Cloud AWSCome costruire un'architettura Serverless nel Cloud AWS
Come costruire un'architettura Serverless nel Cloud AWSAmazon Web Services
 
AWS Serverless per startup: come innovare senza preoccuparsi dei server
AWS Serverless per startup: come innovare senza preoccuparsi dei serverAWS Serverless per startup: come innovare senza preoccuparsi dei server
AWS Serverless per startup: come innovare senza preoccuparsi dei serverAmazon Web Services
 
Crea dashboard interattive con Amazon QuickSight
Crea dashboard interattive con Amazon QuickSightCrea dashboard interattive con Amazon QuickSight
Crea dashboard interattive con Amazon QuickSightAmazon Web Services
 
Costruisci modelli di Machine Learning con Amazon SageMaker Autopilot
Costruisci modelli di Machine Learning con Amazon SageMaker AutopilotCostruisci modelli di Machine Learning con Amazon SageMaker Autopilot
Costruisci modelli di Machine Learning con Amazon SageMaker AutopilotAmazon Web Services
 
Migra le tue file shares in cloud con FSx for Windows
Migra le tue file shares in cloud con FSx for Windows Migra le tue file shares in cloud con FSx for Windows
Migra le tue file shares in cloud con FSx for Windows Amazon Web Services
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 

Más contenido relacionado

Más de Amazon Web Services

Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...Amazon Web Services
 
OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...Amazon Web Services
 
Microsoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows WorkloadsMicrosoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows WorkloadsAmazon Web Services
 
Database Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatareDatabase Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatareAmazon Web Services
 
Crea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJSCrea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJSAmazon Web Services
 
API moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e webAPI moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e webAmazon Web Services
 
Database Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatareDatabase Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatareAmazon Web Services
 
Tools for building your MVP on AWS
Tools for building your MVP on AWSTools for building your MVP on AWS
Tools for building your MVP on AWSAmazon Web Services
 
How to Build a Winning Pitch Deck
How to Build a Winning Pitch DeckHow to Build a Winning Pitch Deck
How to Build a Winning Pitch DeckAmazon Web Services
 
Building a web application without servers
Building a web application without serversBuilding a web application without servers
Building a web application without serversAmazon Web Services
 
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...Amazon Web Services
 
Introduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container ServiceIntroduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container ServiceAmazon Web Services
 
Come costruire un'architettura Serverless nel Cloud AWS
Come costruire un'architettura Serverless nel Cloud AWSCome costruire un'architettura Serverless nel Cloud AWS
Come costruire un'architettura Serverless nel Cloud AWSAmazon Web Services
 
AWS Serverless per startup: come innovare senza preoccuparsi dei server
AWS Serverless per startup: come innovare senza preoccuparsi dei serverAWS Serverless per startup: come innovare senza preoccuparsi dei server
AWS Serverless per startup: come innovare senza preoccuparsi dei serverAmazon Web Services
 
Crea dashboard interattive con Amazon QuickSight
Crea dashboard interattive con Amazon QuickSightCrea dashboard interattive con Amazon QuickSight
Crea dashboard interattive con Amazon QuickSightAmazon Web Services
 
Costruisci modelli di Machine Learning con Amazon SageMaker Autopilot
Costruisci modelli di Machine Learning con Amazon SageMaker AutopilotCostruisci modelli di Machine Learning con Amazon SageMaker Autopilot
Costruisci modelli di Machine Learning con Amazon SageMaker AutopilotAmazon Web Services
 
Migra le tue file shares in cloud con FSx for Windows
Migra le tue file shares in cloud con FSx for Windows Migra le tue file shares in cloud con FSx for Windows
Migra le tue file shares in cloud con FSx for Windows Amazon Web Services
 

Más de Amazon Web Services (20)

Open banking as a service
Open banking as a serviceOpen banking as a service
Open banking as a service
 
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
Rendi unica l’offerta della tua startup sul mercato con i servizi Machine Lea...
 
OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...OpsWorks Configuration Management: automatizza la gestione e i deployment del...
OpsWorks Configuration Management: automatizza la gestione e i deployment del...
 
Microsoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows WorkloadsMicrosoft Active Directory su AWS per supportare i tuoi Windows Workloads
Microsoft Active Directory su AWS per supportare i tuoi Windows Workloads
 
Computer Vision con AWS
Computer Vision con AWSComputer Vision con AWS
Computer Vision con AWS
 
Database Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatareDatabase Oracle e VMware Cloud on AWS i miti da sfatare
Database Oracle e VMware Cloud on AWS i miti da sfatare
 
Crea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJSCrea la tua prima serverless ledger-based app con QLDB e NodeJS
Crea la tua prima serverless ledger-based app con QLDB e NodeJS
 
API moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e webAPI moderne real-time per applicazioni mobili e web
API moderne real-time per applicazioni mobili e web
 
Database Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatareDatabase Oracle e VMware Cloud™ on AWS: i miti da sfatare
Database Oracle e VMware Cloud™ on AWS: i miti da sfatare
 
Tools for building your MVP on AWS
Tools for building your MVP on AWSTools for building your MVP on AWS
Tools for building your MVP on AWS
 
How to Build a Winning Pitch Deck
How to Build a Winning Pitch DeckHow to Build a Winning Pitch Deck
How to Build a Winning Pitch Deck
 
Building a web application without servers
Building a web application without serversBuilding a web application without servers
Building a web application without servers
 
Fundraising Essentials
Fundraising EssentialsFundraising Essentials
Fundraising Essentials
 
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
AWS_HK_StartupDay_Building Interactive websites while automating for efficien...
 
Introduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container ServiceIntroduzione a Amazon Elastic Container Service
Introduzione a Amazon Elastic Container Service
 
Come costruire un'architettura Serverless nel Cloud AWS
Come costruire un'architettura Serverless nel Cloud AWSCome costruire un'architettura Serverless nel Cloud AWS
Come costruire un'architettura Serverless nel Cloud AWS
 
AWS Serverless per startup: come innovare senza preoccuparsi dei server
AWS Serverless per startup: come innovare senza preoccuparsi dei serverAWS Serverless per startup: come innovare senza preoccuparsi dei server
AWS Serverless per startup: come innovare senza preoccuparsi dei server
 
Crea dashboard interattive con Amazon QuickSight
Crea dashboard interattive con Amazon QuickSightCrea dashboard interattive con Amazon QuickSight
Crea dashboard interattive con Amazon QuickSight
 
Costruisci modelli di Machine Learning con Amazon SageMaker Autopilot
Costruisci modelli di Machine Learning con Amazon SageMaker AutopilotCostruisci modelli di Machine Learning con Amazon SageMaker Autopilot
Costruisci modelli di Machine Learning con Amazon SageMaker Autopilot
 
Migra le tue file shares in cloud con FSx for Windows
Migra le tue file shares in cloud con FSx for Windows Migra le tue file shares in cloud con FSx for Windows
Migra le tue file shares in cloud con FSx for Windows
 

Último

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 

Último (15)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 

AWS Summit Bogotá Track Avanzado: Mejores Prácticas de Seguridad para IAM (Identity and Access Management)

  • 1. Mejores Practicas de Seguridad para IAM (Identity and Access Management) Jesus Bonequi Olvera Solutions Architect
  • 2. Agenda • Seguridad en AWS • Resumen de IAM • Mejores practicas de IAM para incrementar la seguridad de su infraestructura en la nube • Demostracion
  • 3. La seguridad es nuestra prioridad #1
  • 4. La seguridad es una responsabilidad compartida
  • 5. AWS • Edificios • Seguridad Física • Infraestructura Física • Infraestructura de red • Infraestructura de virtualización • Sistemas operativos • Aplicaciones • Grupos de seguridad • Firewalks y SO • Configuración de red • Administración de cuentas Cliente
  • 6. ¿Cómo es que AWS obtiene su seguridad? • Acceso físico es grabado en video, almacenado y revisado • Existe una autenticación Multi-factor para el acceso físico • Segregación de responsabilidades: Personal con acceso físico Vs. Personal con acceso lógico Y Cada 90 días…
  • 7. ¿Cómo es que AWS obtiene su seguridad?
  • 8. ¿Cómo es que AWS obtiene su seguridad?
  • 9. Las evidencias comprueban que AWS cumple • Certificaciones • Auditorias y & Certificación – Independientes por 3os – Refrescados frecuentemente – Disponibles para nuestros clientes aws.amazon.com/compliance
  • 10. Certificaciones y Approving Industry Bodies
  • 12. AWS Identity and Access Management (IAM) Le permite a usted controlar quien puede hacer que en su cuenta de AWS • Usuarios, Grupos, Roles, Permisos • Controlar… – Centralizado – Granularidad fina - APIs, recursos, y la consola de administración de AWS • Seguridad… – Segura (negar) por omisión – Múltiples usuarios, credenciales de seguridad y permisos individuales
  • 14. Los 10 mejores practicas (bueno 11) 0. Usuarios 1. Permisos 2. Grupos 3. Condiciones 4. Auditoria 5. Contraseñas 6. Rotación 7. MFA 8. Compartir 9. Roles 10.Root
  • 16. 0. Crear usuarios individuales Beneficios • Credenciales únicas • Rotación individual de credenciales • Permisos Individuales Como iniciar • Identifica que usuarios necesitamos crear dentro de IAM • Utilice la consola, CLI o API para: - Crear usuarios - Asignar credenciales - Asignar permisos
  • 17. 1. Permisos Otorgue el menor privilegio
  • 18. 1. Otorgue el menor privilegio Beneficios • Menor oportunidad de que la persona ocurra en un error • Es mas fácil relajar la seguridad que incrementarla • Mayor control granular – API y resource Como iniciar • Identifique cuales son los permisos requeridos • Contraseñas o access keys? • Evite asignar políticas *:* • Default Deny • Utilice los ”policy templates” NOTA IMPORTANTE: Los permisos no aplican a root!
  • 19. 2. Grupos Administre los permisos con grupos
  • 20. 2. Administre los permisos con grupos Beneficios • Mas sencillo de asignar los mismos permisos a múltiples usuarios • Mas sencillo reasignar los cambios en los permisos basados en responsabilidades • Solo es necesario un cambio para actualizar los permisos de múltiples usuarios Como iniciar • Empate los permisos a funciones especificas del negocio • Asigne los usuarios a esa función • Administre los grupos en su sección dentro de la consola de IAM
  • 21. 3. Condiciones Restringa los privilegios de acceso con condiciones
  • 22. 3. Restringa los privilegios de acceso con condiciones Beneficios • Granularidad adicional cuando se definen los permisos • Puede ser utilizada para cualquier servicio API de AWS • Minimiza el riesgo de realizar una acción privilegiada de manera accidental Como iniciar • Utilice las condiciones cuando aplique • Dos tipos de condiciones - AWS common - Service-specific
  • 23. Restringa los privilegios de acceso con condiciones { "Statement":[{ "Effect":"Allow", "Action":["ec2:TerminateInstances"], "Resource":["*"], "Condition":{ "Null":{"aws:MultiFactorAuthAge":"false"} } } ] } Enables a user to terminate EC2 instances only if the user has authenticated with their MFA device. MFA { "Statement":[{ "Effect":"Allow", "Action":"iam:*AccessKey*", "Resource”:"arn:aws:iam::123456789012:user/*", "Condition":{ "Bool":{"aws:SecureTransport":"true"} } } ] } Enables a user to manage access keys for all IAM users only if the user is coming over SSL. SSL { "Statement":[{ "Effect":"Allow", "Action":["ec2:TerminateInstances“], "Resource":["*“], "Condition":{ "IpAddress":{"aws:SourceIP":"192.168.176.0/24"} } } ] } Enables a user to terminate EC2 instances only if the user is accessing Amazon EC2 from the 192.168.176.0/24 address range. SourceIP { "Statement":[{ "Effect": "Allow", "Action":"ec2:TerminateInstances", "Resource": "*", "Condition":{ "StringEquals":{"ec2:ResourceTag/Environment":"Dev"} } } ] } Enables a user to terminate EC2 instances only if the instance is tagged with “Environment=Dev”. Tags { "Sid": "ThisBitGrantsAccessToResourcesForTerminateInstances", "Effect": "Allow", "Action":"ec2:TerminateInstances", "Resource": "*", "Condition": { "StringEquals": {"ec2:ResourceTag/Environm { "Sid": "ThisBitGrantsAccessToResourcesForTerminateInstances", "Effect": "Allow", "Action":"ec2:TerminateInstances", "Resource": "*", "Condition": { "StringEquals": {"ec2:ResourceTag/Environment": { "Sid": "ThisBitGrantsAccessToResourcesForTerminateInstances", "Effect": "Allow", "Action":"ec2:TerminateInstances", "Resource": "*", "Condition": { "StringEquals": {"ec2:ResourceTag/Environment":
  • 24. 4. Auditoria Habilite AWS CloudTrail para generar logs de las llamadas API
  • 25. 4. Habilite AWS CloudTrail para generar logs de las llamadas API Beneficios • Da visibilidad de la actividad de usuarios al grabar las llamadas API de AWS en una cubeta de Amazon S3 Como iniciar • Configure una cubeta de Amazon S3 • Habilite AWS CloudTrail Asegure que los servicios estén integrados con AWS CloudTrail
  • 27. 5. Contraseñas Configure una política de uso de contraseñas robusta
  • 28. 5. Configure una política de contraseñas robusta Beneficios • Asegura que los usuarios y los datos están protegidos Como iniciar • Cual es la política de contraseñas de su compañía • Se puede configurar - Password expiration - Password strength • Uppercase, lowercase, numbers, non-alphanumeric - Password re-use NOTA IMPORTANTE: La policía de contraseñas no aplica a root
  • 29. 6. Rotacion Rote (o elimine) regularmente las credenciales de seguridad
  • 30. 6. Rote/elimine las credenciales de seguridad regularmente Beneficios • Mejor practica común Como iniciar • Utilice los reportes de credenciales para identificar cuales deben ser rotadas o eliminadas • La consola IAM despliega cuando fue usado la contraseña • Otorgue permisos de usuarios IAM para rotar credenciales • Roles IAM para Amazon EC2 rotan credenciales automáticamente
  • 31. Habilite la rotación de credenciales IAM para los usuarios (enable password rotation sample policy) Password { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:ChangePassword", "Resource": "arn:aws:iam::123456789012:user/${aws:username}" } ] } Enforcing a password policy will automatically enable IAM users to manage their passwords Observe el uso de una política variable
  • 32. Habilite la rotación de credenciales IAM para los usuarios (enable access key rotation sample policy) Access Keys { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:ListAccessKeys", "iam:UpdateAccessKey"], "Resource": "arn:aws:iam::123456789012:user/${aws:username}" } ] }
  • 33. Habilite la rotación de credenciales IAM para los usuarios (enable access key rotation sample policy) Access Keys { "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:ListAccessKeys", "iam:UpdateAccessKey"], "Resource": "arn:aws:iam::123456789012: user/${aws:username}" } ] } 1. While the first set of credentials is still active, create a second set of credentials, which will also be active by default. 2. Update all applications to use the new credentials. 3. Change the state of the first set of credentials to Inactive. 4. Using only the new credentials, confirm that your applications are working well. 5. Delete the first set of credentials. Steps to rotate access keys
  • 34. 7. MFA Habilite la autenticación multi factor para usuarios privilegiados
  • 35. 7. Habilite MFA para usuarios privilegiados Beneficios • Suplemente para la autenticación de usuario y contraseña que requiere un código único Como iniciar • Escoja un tipo de MFA - Virtual MFA - Hardware • Utilice la consola IAM para asignar un dispositivo MFA
  • 36. 8. Compartir Utilice los roles IAM para compartir accesos
  • 37. 8. Utilice roles IAM para compartir acceso Beneficios • Sin necesidad de compartir las credenciales de seguridad • Sin necesidad de almacenar las credenciales a largo plazo • Fáciles de romper “sharing relationship” • Casos de uso - Cross-account access - Intra-account delegation - Federación Como iniciar • Crear un rol - Especifica en quien confías - Describa que es lo que el rol puede hacer • Comparta el nombre del rol • Utilice un ExternalID cuando comparta con un tercero NOTA IMPORTANTE: Nunca comparta las credenciales.
  • 38. prod@example.com Acct ID: 111122223333 ddb-role { "Statement": [ { "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Effect": "Allow", "Resource": "*" }]} dev@example.com Acct ID: 123456789012 Authenticate with Jeff access keys Get temporary security credentials for ddb-role Call AWS APIs using temporary security credentials of ddb-role { "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::111122223333:role/ddb-role" }]} { "Statement": [ { "Effect":"Allow", "Principal":{"AWS":"123456789012"}, "Action":"sts:AssumeRole" }]} Como trabaja el compartir ddb-role trusts IAM users from the AWS account dev@example.com (123456789012) Permissions assigned to Jeff granting him permission to assume ddb-role in account B IAM user: Jeff Permissions assigned to ddb-role STS External access User Login con Amazon Google Facebook Open ID Connect SAML Authenticate with Users tokens
  • 39. 9. Roles Utilice roles IAM para instancias de Amazon EC2
  • 40. 9. Utilice roles IAM para instancias de Amazon EC2 Beneficios • Access Keys fáciles de administrar en instancias EC2 • Rotación de llaves automáticas • Asigne el menor privilegio a la aplicación • Completamente integrado con AWS SDKs • Completamente integrado con AWS CLI Como iniciar • Cree un rol de IAM • Asigne permisos al rol • Lance instancias con el rol • Si no utiliza SDK, firme todas las peticiones a los servicios AWS con las credenciales temporales del rol
  • 42. 10. Root Reduzca o elimine el uso de root
  • 43. 10. Reduzca o elimine el uso de root Beneficios • Reduzca el mal uso potencial de las credenciales Como iniciar • Pagina de “Security Credentials” - Borrar “access keys” - Active un dispositivo MFA • Asegure que haya implementado una contraseña robusta
  • 44. Resumen de las mejores Practicas IAM 0. Usuarios – Genere usuarios individuales 1. Permisos – Otorgue el menor privilegio 2. Grupos – Administre los permisos mediante grupos 3. Condiciones – Restringa el acceso privilegiado con condiciones 4. Auditoria – Habilite AWS CloudTrail para obtener bitácoras de llamadas API 5. Contraseñas – Configure una política de contraseñas robusta 6. Rotación – Rote/Borre las credenciales de seguridad regularmente 7. MFA – Habilite MFA para usuarios privilegiados 8. Comparta – Utilice roles IAM para compartir accesos 9. Roles – Utilice roles IAM para instancias EC2 10. Root – Reduzca o elimine el uso de root
  • 45. Recursos Adicionales • Pagina detallada de IAM: http://aws.amazon.com/iam • Foros AWS: https://forums.aws.amazon.com/forum.jspa?forumID=76 • Documentación: http://aws.amazon.com/documentation/iam/ • Blog de Seguridad AWS : http://blogs.aws.amazon.com/security • Pagina de AWS CloudTrail: http://aws.amazon.com/cloudtrail/ • Twitter: @AWSIdentity