¿Cuáles son algunas de las prácticas recomendadas para proteger mi cuenta de AWS y sus recursos?

Descripción corta

AWS ofrece muchas herramientas para ayudar a proteger su cuenta. Sin embargo, dado que muchas de estas medidas no están activas de forma predeterminada,deberá implementarlas personalmente. A continuación le mostramos algunas de las prácticas recomendadas que debe tener en cuenta para proteger su cuenta y sus recursos

• Proteja sus contraseñas y claves de acceso.
• Active la autenticación multifactor (MFA) en el usuario raíz de la cuenta de AWS y en cualquier usuario con acceso interactivo a AWS Identity and Access Management (IAM).
• Limite el acceso de los usuarios raíz de la cuenta de AWS a sus recursos.
• Audite a los usuarios de IAM y sus políticas con frecuencia.
• Cree instantáneas de Amazon Elastic Block Store (Amazon EBS), instantáneas de Amazon Relational Database Service (Amazon RDS) y versiones de objetos de Amazon Simple Storage Service (Amazon S3).
• Utilice los proyectos de AWS Git para buscar pruebas de uso no autorizado.
• Supervise su cuenta y sus recursos.

Nota: Si utiliza usuarios federados de AWS Identity Center o IAM, las prácticas recomendadas para los usuarios de IAM también se aplican a los usuarios federados.

Resolución

Protección de las contraseñas y claves de acceso

Los dos tipos principales de credenciales que se utilizan para acceder a la cuenta son las contraseñas y las claves de acceso. Las contraseñas y las claves de acceso se pueden aplicar a la cuenta de usuario raíz de AWS y a los usuarios individuales de IAM. Se recomienda proteger las contraseñas y las claves de acceso con la misma seguridad que cualquier otro dato personal confidencial. Nunca los inserte en código de acceso público (por ejemplo, en un repositorio público de Git). Para mayor seguridad, cambie y actualice con frecuencia todas las credenciales de seguridad.

Si sospecha que una contraseña o un par de claves de acceso han quedado expuestos, siga estos pasos:

1. Cambie todos los pares de claves de acceso.
2. Cambie la contraseña de usuario raíz de su cuenta de AWS.
3. Siga las instrucciones que se indican en¿Qué debo hacer si observo una actividad no autorizada en mi cuenta de AWS?

Activación de la MFA

La activación de la MFA puede ayudar a proteger las cuentas y evitar que los usuarios no autorizados inicien sesión en las cuentas sin un token de seguridad.

Para aumentar la seguridad, se recomienda configurar la MFA para ayudar a proteger los recursos de AWS. Puede activar una MFA virtual para los usuarios de IAM y para el usuario raíz de la cuenta de AWS. La activación de la MFA para el usuario raíz afecta únicamente a las credenciales del usuario raíz. Los usuarios de IAM de la cuenta son identidades distintas con sus propias credenciales y cada identidad tiene su propia configuración de MFA.

Para obtener más información, consulte Habilitación de dispositivos MFA para usuarios en AWS.

Limitación del acceso de los usuarios raíz a sus recursos

Las credenciales de la cuenta de usuario raíz (la contraseña raíz o las claves de acceso raíz) otorgan acceso ilimitado a su cuenta y sus recursos. Se recomienda proteger y minimizar el acceso de los usuarios raíz a su cuenta.

Tenga en cuenta las siguientes estrategias para limitar el acceso de los usuarios raíz a su cuenta:

• Utilice los usuarios de IAM para acceder diariamente a su cuenta. Si es la única persona que accede a la cuenta, consulte Crear un usuario administrativo.
• Elimine el uso de claves de acceso raíz. Para obtener más información, consulte Prácticas recomendadas para administrar las claves de acceso de AWS.
• Utilice un dispositivo MFA para el usuario raíz de su cuenta.

Para obtener más información, consulte Proteger las credenciales de usuario raíz y no utilizarlas para las tareas cotidianas.

Auditoría frecuente de los usuarios de IAM y sus políticas

Tenga en cuenta las siguientes prácticas recomendadas al trabajar con usuarios de IAM:

• Asegúrese de que los usuarios de IAM tengan las políticas más restrictivas posibles, con los permisos suficientes para que puedan completar las tareas previstas (privilegios mínimos).
• Utilice el Analizador de acceso de AWS IAM para analizar sus permisos actuales. Para obtener más información, consulte El Analizador de acceso de AWS IAM facilita la implementación de permisos con privilegios mínimos al generar políticas de IAM basadas en la actividad de acceso.
• Cree diferentes usuarios de IAM para cada conjunto de tareas.
• Al asociar varias políticas con el mismo usuario de IAM, tenga en cuenta que la política menos restrictiva tiene prioridad.
• Audite con frecuencia sus usuarios de IAM y sus permisos, y busque las credenciales no utilizadas.
• Si su usuario de IAM necesita acceder a la consola, puede configurar una contraseña para permitir el acceso a la consola mientras limita los permisos del usuario.
• Configure dispositivos MFA individuales para cada usuario de IAM que tenga acceso a la consola.

Puede usar el editor visual de la consola de IAM para definir políticas de seguridad. Para ver ejemplos de casos de uso empresarial comunes y las políticas que puede utilizar para abordarlos, consulte Casos de uso empresarial para IAM.

Creación de instantáneas de Amazon EBS, instantáneas de Amazon RDS y versiones de objetos de Amazon S3

Para crear una instantánea puntual de un volumen de EBS, consulte Crear instantáneas de Amazon EBS.

Para activar las instantáneas automatizadas de Amazon RDS y establecer el periodo de retención de las copias de seguridad, consulte Habilitar las copias de seguridad automatizadas.

Para crear un bucket de S3 estándar que le permita realizar copias de seguridad y tareas de archivo, consulte Creación de buckets de S3 estándar para copias de seguridad y tareas de archivo. Para crear un sistema de control de versiones en el bucket de S3, consulte Usar el control de versiones en buckets de S3.

Para crear un plan de AWS Backup mediante la consola, consulte Creación de una copia de seguridad programada. Para crear un plan de AWS Backup mediante la interfaz de la línea de comandos de AWS (AWS CLI), consulte ¿Cómo puedo usar AWS CLI para crear un plan de AWS Backup o ejecutar un trabajo bajo demanda?.

Uso de proyectos de AWS Git para protegerse contra el uso no autorizado

AWS ofrece proyectos de Git que puede instalar para ayudar a proteger su cuenta:

• Git Secrets puede analizar las combinaciones, confirmaciones y mensajes de confirmación en busca de información secreta (claves de acceso). Si Git Secrets detecta expresiones regulares prohibidas, puede rechazar que esas confirmaciones se publiquen en repositorios públicos.
• Utilice AWS Step Functions y AWS Lambda para generar Eventos de Amazon CloudWatch desde AWS Health o mediante AWS Trusted Advisor. Si hay pruebas de que sus claves de acceso están expuestas, los proyectos pueden ayudarle a detectar, registrar y mitigar el evento automáticamente.

Supervisión de la cuenta y los recursos

Se recomienda supervisar activamente su cuenta y sus recursos para detectar cualquier actividad o acceso inusual a su cuenta. Considere una o más de las siguientes soluciones:

• Cree una alarma de facturación para supervisar sus cargos estimados de AWS y recibir notificaciones automáticas cuando su factura supere los umbrales que defina. Para obtener más información, consulte Preguntas frecuentes sobre Amazon CloudWatch.
• Cree un registro para su cuenta de AWS para realizar un seguimiento de las credenciales que se utilizan para iniciar determinadas llamadas a la API y cuándo se utilizan. Hacerlo puede ayudarle a determinar si el uso fue accidental o no autorizado. A continuación, puede tomar las medidas adecuadas para mitigar la situación. Para obtener más información, consulte Prácticas recomendadas de seguridad en AWS CloudTrail.
• Utilice CloudTrail y CloudWatch en conjunto para supervisar el uso de las claves de acceso y reciba alertas de llamadas a la API inusuales.
• Active el registro a nivel de recursos (por ejemplo, a nivel de instancia o sistema operativo) y el cifrado de bucket predeterminado de Amazon S3.
• Active Amazon GuardDuty para su cuenta de AWS en todas las regiones compatibles. Una vez activado, GuardDuty comienza a analizar flujos de datos independientes de la administración de AWS CloudTrail y los eventos de datos de Amazon S3, los registros de flujo de Amazon VPC y los registros de DNS para generar resultados de seguridad. Las principales categorías de detección incluyen vulnerabilidad de cuentas e instancias, y reconocimiento de intrusiones malintencionadas. Para obtener más información, consulte Preguntas frecuentes sobre Amazon GuardDuty.

Nota: Se recomienda activar el registro en todas las regiones, no solo en las que utiliza habitualmente.

Información relacionada

Seguridad en la nube de AWS

Prácticas recomendadas para administrar cuentas de AWS

Prácticas recomendadas para la seguridad, la identidad y el cumplimiento

¿Cómo puedo proteger los archivos de mi bucket de Amazon S3?

Prácticas recomendadas de monitorización y auditoría de Amazon S3