Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nivel-Explorador
Módulo 2
En el amplio panorama de Amazon Web Services, (AWS, por sus siglas en inglés) la seguridad y
gestión eficiente de recursos son piedras angulares; es por eso que esta unidad tiene el propósito de
presentar tanto conceptos básicos al respecto, como la variedad de los servicios que ofrece AWS. Los
AWS IAM, por sus siglas en inglés: Identity and Access Management: este servicio permite un
control preciso del acceso a los recursos y las acciones que se pueden realizar en ellos. En este módulo se
Protección de una cuenta en AWS: contiene prácticas y herramientas para proteger una cuenta en
Protección de datos en AWS: presta medidas de seguridad y servicios de AWS para proteger la
Elastic Block Store, EBS, por sus siglas en inglés (Amazon EBS): proporciona almacenamiento
persistente para instancias EC2; en esta unidad se analiza cómo este servicio es esencial para garantizar la
integridad y disponibilidad de los datos.
Asimismo, se revisan conceptos básicos de red y se da cuenta de Amazon Virtual Private Cloud
(VPC, por sus siglas en inglés). Una comprensión sólida de estos conceptos es esencial para diseñar
arquitecturas seguras y eficientes; conceptos como Redes de VPC para tener una perspectiva amplia de la
forma en la que las redes de VPC permiten la segmentación y conexión de recursos en la nube, ofreciendo
un control granular sobre el tráfico y la seguridad. Esta unidad cuenta con información general sobre los
servicios de informática y Amazon EC2, (por sus siglas en inglés, Amazon Elastic Compute Cloud).
comerciales y empresariales, es así que la seguridad de los datos y la eficiencia en la gestión de recursos
son esenciales. En este contexto, Amazon Web Services (AWS) emerge como un líder indiscutible en la
oferta de servicios en la nube. Brinda una amplia gama de soluciones para el almacenamiento, la
Es así entonces que, este módulo invita a los participantes a acercarse al amplio espectro de
servicios que ofrece AWS en los ámbitos de seguridad, redes e informática. Entender cómo funcionan los
1. Objetivos
Competencias a desarrollar
● Comprender los conceptos fundamentales del modelo de responsabilidad compartida de
AWS.
● Identificar las áreas de responsabilidad del proveedor (AWS) y del cliente (usuario).
● Identificar y comprender el propósito de los usuarios, grupos y roles en AWS Identity and
● Reconocer los pasos y las mejores prácticas para proteger una nueva cuenta de AWS desde
el momento de su creación.
entre otros.
de administración de AWS.
● Reconocer las medidas de seguridad disponibles en AWS para proteger los datos, como el
● Identificar las mejores prácticas para proteger los datos en reposo y en tránsito en entornos
de AWS.
Tiempo de Ejecución: 12 horas
Compartida de AWS
Objetivo de Aprendizaje: Comprender los conceptos básicos del Uso de un rol de IAM para
(usuario).
Lección 2: Definición de IAM y Demostración de IAM en AWS AWS Identity and Access
Los estudiantes verán una demostración grabada que muestra Configuración del acceso a
cómo navegar por la consola de administración de AWS y una API protegido por MFA -
Los estudiantes completarán una serie de tareas guiadas en la Habilitar todas las
la configuración de roles.
Administración de políticas en
en AWS y cómo se trabaja para garantizar la conformidad con los Características | AWS Key
Se presentarán las medidas de seguridad y las mejores prácticas Amazon Web Services (AWS)
AWS (amazon.com)
pueden ser utilizados para mejorar la seguridad en la nube. Amazon Web Services (AWS)
Revisión de Conocimientos
Servicios en el ámbito: Amazon
Objetivo de Aprendizaje: Evaluar la comprensión de los
Web Services (AWS)
conceptos clave abordados en la unidad.
Responsabilidad compartida
La seguridad y la conformidad son compartidas entre AWS y el cliente, lo que implica que ambos
tienen roles y responsabilidades definidos en el proceso. Este modelo de responsabilidad compartida busca
soluciones en AWS. Se distingue entre la seguridad "de" la nube, manejada por AWS, y la seguridad "en"
virtualización hasta la seguridad física de las instalaciones. Esto incluye la protección del hardware,
garantizar la seguridad de la red y la gestión segura de credenciales y accesos. Además, debe configurar
adecuadamente los grupos de seguridad y el sistema operativo en las instancias computacionales que
Esto implica que AWS gestiona y controla todos los componentes, desde el sistema operativo en
el alojamiento bare metal hasta la capa de virtualización del hipervisor, y se extiende hasta la seguridad
física de las instalaciones en la que operan los servicios en la nube. En esencia, AWS se encarga de
proteger la infraestructura global que sostiene todos los servicios ofrecidos en su plataforma.
Las responsabilidades de AWS, incluye garantizar la seguridad física de los centros de datos
dos factores y la vigilancia por vídeo. Además, AWS se encarga de mantener la infraestructura de
hardware y software, que abarca desde servidores y dispositivos de almacenamiento hasta sistemas
operativos y software de virtualización. También es responsable de gestionar la infraestructura de red, que
incluye routers, switches, balanceadores de carga y firewalls, entre otros, y proporciona monitoreo
La seguridad de esta infraestructura es la máxima prioridad para AWS. Aunque los clientes no
tienen acceso directo a los centros de datos o las instalaciones de AWS, la empresa ofrece informes
exhaustivos de auditorías realizadas por terceros que certifican su conformidad con diversas normativas y
clientes tienen la responsabilidad de asegurar todo lo que implementan en ella. Esto abarca desde
los servicios de AWS que utilizan hasta las aplicaciones que están conectadas a la plataforma.
Las medidas de seguridad que deben tomar los clientes dependen de los servicios que utilicen y
de la complejidad de su sistema.
sistema operativo de las instancias, la seguridad de las aplicaciones desplegadas en los recursos
Cuando los clientes hacen uso de los servicios de AWS, mantienen el control total sobre
incluyendo qué datos se almacenan en AWS, qué servicios de la plataforma se utilizan con dicho
contenido, en qué ubicación geográfica se almacena, el formato y estructura del contenido, quién
proteger sus propios datos, entornos, aplicaciones, configuraciones de IAM y sistemas operativos.
La infraestructura como servicio (IaaS) se refiere a aquellos servicios en la nube que
proporcionan los componentes básicos de TI, como redes configurables, máquinas virtuales o hardware
dedicado, y almacenamiento de datos. Estos servicios ofrecen al cliente un alto nivel de flexibilidad y
control sobre los recursos de TI, similares a los recursos informáticos tradicionales con los que muchos
Los servicios de AWS, como Amazon EC2, pueden ser considerados como IaaS, lo que implica
que los clientes son responsables de configurar y administrar la seguridad. Esto incluye la gestión del
sistema operativo de las instancias EC2, la instalación y mantenimiento de software de aplicación, así
Por otro lado, la plataforma como servicio (PaaS) se refiere a servicios que eliminan la necesidad
de que los clientes administren la infraestructura subyacente, como hardware y sistemas operativos. En
lugar de eso, los clientes pueden enfocarse exclusivamente en la implementación y administración de
aplicaciones. AWS ofrece servicios como AWS Lambda y Amazon RDS que se pueden clasificar como
PaaS, ya que AWS gestiona la infraestructura, el sistema operativo y las plataformas. Los clientes sólo
Con los servicios PaaS, los clientes son responsables de administrar sus datos, organizar sus
recursos y aplicar permisos adecuados. Sin embargo, estos servicios son más gestionados por AWS en
comparación con los servicios IaaS. Por ejemplo, AWS se encarga de tareas de seguridad como la
recuperación de desastres.
El Software como Servicio (SaaS) se refiere a servicios que ofrecen software alojado de forma
centralizada y accesible generalmente a través de un navegador web, una aplicación móvil o una interfaz
de programación de aplicaciones (API). El modelo de licencia típico para estas ofertas es mediante
suscripción o pago por uso. Con el SaaS, los clientes no necesitan preocuparse por administrar la infrae<
Algunos servicios de AWS, como AWS Trusted Advisor, AWS Shield y Amazon Chime, pueden
AWS Trusted Advisor es una herramienta en línea que analiza el entorno de AWS de un cliente y
ofrece orientación y recomendaciones en tiempo real para ayudar en la provisión de recursos siguiendo las
mejores prácticas de AWS. Se ofrece como parte del plan de soporte de AWS, con ciertas características
distribuido (DDoS) diseñado para proteger las aplicaciones que se ejecutan en AWS. Ofrece detección
continua y mitigaciones automáticas que reducen el tiempo de inactividad y la latencia de las aplicaciones.
AWS Shield Advanced está disponible para todos los clientes, mientras que el acceso al equipo de
Amazon Chime es un servicio de comunicaciones que permite realizar reuniones, chats y llamadas
empresariales tanto dentro como fuera de la organización, todo a través de una sola aplicación. Se trata de
un servicio de comunicaciones de pago por uso, sin tarifas iniciales ni compromisos a largo plazo.
En esta actividad impartida por el mentor, se le presentan dos situaciones. En cada
configurar y gestionar los permisos de acceso adecuados a los datos almacenados en S3, así
como de aplicar medidas de seguridad adicionales, como el cifrado de datos en reposo y en
tránsito.
Private Cloud (Amazon VPC), el cliente es responsable de definir las reglas de seguridad y
aplicación y configurar el firewall (grupo de seguridad) y las reglas de red. Sin embargo, si
Consulte las prácticas recomendadas para ejecutar la base de datos de Oracle en AWS.
En este escenario adicional, la responsabilidad de mantener la seguridad recae tanto en AWS
adecuadamente los permisos de acceso a los datos almacenados y de aplicar medidas de seguridad, como
En cuanto a la configuración de la nube virtual privada (VPC) con Amazon VPC, el cliente es
Para la instancia EC2 que ejecuta el servidor web, el cliente es responsable de administrar el
sistema operativo, aplicar parches de seguridad, mantener el software del servidor web actualizado y
configurar los mecanismos de seguridad como las claves SSH para acceder al servidor.
En resumen, el cliente tiene la responsabilidad de garantizar la seguridad de los datos
almacenados en S3, configurar correctamente la VPC y mantener seguro el servidor web en la instancia
EC2. AWS, por su parte, proporciona herramientas y servicios para ayudar al cliente a implementar
software, las redes y las instalaciones) que ejecuta los servicios en la nube de AWS.
seguridad necesarias.
AWS Identity and Access Management (IAM) es una herramienta que permite
controlar quién tiene acceso a los diferentes servicios y recursos en la nube de AWS. Con IAM,
IAM centraliza la gestión del acceso, lo que significa que puede controlar quién puede
control detallado sobre qué recursos pueden ser accedidos y qué acciones pueden ser realizadas
en ellos, incluso especificando qué llamadas a la API pueden ser realizadas por cada usuario.
Independientemente de si está utilizando la consola de administración de AWS, la CLI de
AWS o los SDK de AWS, cada interacción con un servicio de AWS se realiza a través de la API.
IAM le permite gestionar quién puede acceder a qué recursos y de qué manera pueden acceder a
ellos.
Con IAM, puede otorgar diferentes niveles de permisos a diferentes usuarios para
diferentes recursos. Por ejemplo, puede permitir que algunos usuarios tengan control total sobre
una amplia gama de servicios de AWS, mientras que restringe a otros a solo lectura en
determinados recursos, como buckets de Amazon S3. También puede conceder permisos para
de la cuenta.
Lo mejor de todo es que IAM es una característica incluida en su cuenta de AWS, sin
costos adicionales.
Para entender cómo emplear IAM para proteger su cuenta de AWS, es crucial comprender el
Un usuario IAM representa una persona o aplicación identificada en una cuenta de AWS que
necesita interactuar con los productos de AWS a través de llamadas a la API. Cada usuario debe tener un
nombre único dentro de la cuenta de AWS y un conjunto exclusivo de credenciales de seguridad que no se
comparten con otros usuarios. Estas credenciales son distintas de las credenciales de seguridad de la
cuenta raíz de AWS. Cada usuario se define únicamente en una cuenta de AWS.
Un grupo IAM es una colección de usuarios IAM. Los grupos de IAM se emplean para simplificar
Una política IAM es un documento que establece los permisos necesarios para determinar las
acciones que los usuarios pueden realizar en la cuenta de AWS. Por lo general, una política otorga acceso
a recursos específicos y especifica las acciones permitidas sobre dichos recursos. También es posible que
Un rol IAM es una herramienta utilizada para otorgar acceso temporal a recursos específicos de
sistema debe validar su identidad antes de acceder a recursos protegidos. Puede compararse con el proceso
de identificación que se realiza en un aeropuerto antes de pasar por el área de seguridad para abordar un
vuelo. En ese caso, es necesario presentar una identificación al oficial de seguridad para demostrar quién
es antes de ingresar a una zona restringida. De manera similar, se aplica un concepto análogo para acceder
Al configurar un usuario IAM, se decide qué tipo de acceso tendrá ese usuario para interactuar
con los recursos de AWS. Hay dos tipos de acceso que se pueden asignar: acceso mediante programación
y acceso a la consola de administración de AWS. Puede otorgar sólo acceso mediante programación, sólo
acceso y una clave de acceso secreta al realizar llamadas a la API de AWS a través de la CLI de AWS, el
Si se otorga acceso a la consola de administración de AWS, el usuario IAM debe completar los
campos requeridos en la ventana de inicio de sesión del navegador. Se le pedirá al usuario que ingrese el
contraseña de IAM. Si la autenticación multifactor (MFA) está habilitada para el usuario, también se le
como la consola de administración de AWS, la línea de comandos de AWS (CLI) o mediante los
La autenticación multifactor (MFA) requiere que los usuarios y los sistemas generen un
código adicional (junto con las credenciales de inicio de sesión regulares) para acceder a los
servicios y recursos de AWS. Este código adicional, conocido como token de MFA, es creado
por una aplicación de autenticación virtual (como Google Authenticator o Authy 2-Factor
Habilitar MFA proporciona una capa adicional de seguridad al requerir un segundo factor
de autenticación, lo que dificulta el acceso no autorizado a los recursos de AWS, incluso si las
La autorización implica determinar qué acciones específicas están permitidas para un usuario,
servicio o aplicación después de que han sido autenticados. Una vez que un usuario ha sido verificado
como legítimo, se le debe otorgar autorización para acceder a los servicios de AWS.
Por defecto, los usuarios de IAM no tienen acceso automático a los recursos o datos en una cuenta
de AWS. Es necesario otorgar permisos de manera explícita a un usuario, grupo o rol mediante la creación
de una política. Una política es un documento en formato JavaScript Object Notation (JSON) que enumera
los permisos concedidos o denegados para acceder a los recursos en la cuenta de AWS.
Para otorgar permisos a un usuario, grupo o rol en AWS, es necesario crear una política de IAM o
utilizar una política existente en la cuenta. No hay permisos predefinidos, por lo que todas las acciones en
la cuenta se consideran denegadas por defecto (denegación implícita), a menos que se permita
explícitamente. Cualquier acción que no esté permitida explícitamente será denegada automáticamente.
otorgar sólo los privilegios necesarios para que un usuario realice sus tareas, basándose en sus necesidades
específicas. Al crear políticas de IAM, se recomienda seguir este enfoque de seguridad para conceder los
privilegios mínimos necesarios. Se debe identificar las tareas requeridas por los usuarios y elaborar
políticas que les permitan llevar a cabo únicamente esas tareas. Es preferible comenzar con un conjunto
mínimo de permisos y otorgar permisos adicionales según sea necesario, en lugar de comenzar con
Es importante tener en cuenta que las configuraciones de IAM tienen un alcance global, lo que
significa que se aplican en todas las regiones de AWS y no se limitan a una región específica.
Una política de IAM es una instrucción formal de permisos que se concederá a una entidad.
Las políticas se pueden asociar a cualquier entidad de IAM. Las entidades incluyen
usuarios, grupos, roles o recursos. Por ejemplo, puede asociar una política a sus recursos de
AWS para bloquear todas las solicitudes que no provengan de un rango de direcciones de
protocolo de Internet (IP) aprobado. Las políticas especifican cuáles son las acciones
permitidas, cuáles son los recursos a los que estas tienen permiso y cuál será el efecto
permisos que puede asociar a una entidad principal (o identidad), como por ejemplo un
usuario, rol o grupo de IAM. Estas políticas controlan qué acciones puede realizar dicha
asociar a un recurso como, por ejemplo, un bucket de S3. Estas políticas controlan qué
acciones puede realizar una entidad principal especificada en dicho recurso y en qué
condiciones.
Como se mencionó anteriormente, las políticas de IAM se redactan utilizando el formato JSON.
El ejemplo de política de IAM que se proporciona otorga a los usuarios acceso restringido a los siguientes
recursos específicos:
Además, esta política de IAM incluye una declaración de denegación explícita con el efecto "Deny". La
inclusión del elemento "NotResource" garantiza que los usuarios no puedan acceder a ninguna otra acción
o recurso en DynamoDB o S3 que no esté especificado en la política, incluso si se les conceden permisos
mediante otra política. En el sistema de IAM, una instrucción de denegación explícita siempre tiene
políticas especifican quién puede obtener acceso al recurso y qué acciones pueden realizar
en él.
Las políticas basadas en recursos se definen únicamente de forma directa, lo que significa
que usted define la política en el propio recurso, en lugar de crear un documento de política
de IAM independiente. Por ejemplo, para crear una política de bucket de S3 (un tipo de
política basada en recurso) en un bucket de S3, vaya al bucket, haga clic en la pestaña
Permissions (Permisos), haga clic en el botón Bucket Policy (Política de bucket) y defina
allí el documento de política con formato JSON. Una lista de control de acceso (ACL) de
El diagrama muestra dos formas diferentes en las que se podría conceder acceso al usuario
ejemplo de una política basada en identidad. Una política de IAM que concede acceso al
que el usuario MaryMajor tiene permiso para enumerar y leer los objetos del bucket.
Las políticas de IAM permiten ajustar los privilegios que se conceden a los
manera práctica de asignar permisos a varios usuarios, simplificando así la gestión de los
Por ejemplo, podrías establecer un grupo de IAM llamado "Desarrolladores" y asociar una o
varias políticas de IAM a este grupo para conceder los permisos necesarios para acceder a los
asignados al grupo. Esto significa que no es necesario asignar directamente políticas de IAM a
empleado cambia de función dentro de tu organización, en lugar de editar los permisos de ese
grupos.
● Los grupos no pueden ser anidados. Esto significa que un grupo solo puede contener
cuenta de AWS. Si deseas crear un grupo que incluya a todos los usuarios de la cuenta,
también es una identidad de AWS a la que puede asociar políticas de permisos y esos
permisos determinan lo que la identidad puede hacer y lo que no en AWS. Sin embargo, en
lugar de estar asociada únicamente a una persona, el objetivo es que pueda asignarse un rol
estándar a largo plazo, como una contraseña o claves de acceso. En su lugar, cuando se
rol.
que normalmente no tendrían acceso a los recursos de AWS. Por ejemplo, es posible que
desee conceder acceso a los usuarios de su cuenta de AWS a los recursos que no suelen
tener o conceder acceso a los usuarios de una cuenta de AWS a los recursos de otra
cuenta.
También puede que quiera permitir que una aplicación móvil utilice los recursos de
AWS, pero no desea integrar las claves de AWS en la aplicación (donde serían difíciles de
incorrecta).
Además, a veces es posible que desee conceder acceso a AWS a los usuarios que ya
tienen
identidades definidas fuera de AWS, como en su directorio corporativo. O bien, es
posible que quiera conceder acceso a su cuenta a terceros para que puedan realizar una
En todos estos casos de uso de ejemplo, los roles de IAM son un componente
lo asocia a la instancia EC2. El rol incluye una política de permisos que otorga acceso de
solo lectura al bucket de S3 especificado. También incluye una política de confianza que
permite a la instancia EC2 asumir el rol y obtener las credenciales temporales. Cuando la
aplicación se ejecuta en la instancia, puede utilizar las credenciales temporales del rol para
Para obtener más información acerca de este ejemplo, consulte Uso de un rol de IAM
Las políticas de IAM se crean con la notación de objetos JavaScript (JSON) y definen
permisos.
• Un usuario de IAM permite que una persona, aplicación o servicio pueda autenticarse
en AWS.
• Un grupo de IAM permite asociar las mismas políticas a varios usuarios de una
manera sencilla.
poco más de 4 minutos y refuerza muchos de los conceptos que se han tratado en esta
• Un grupo de IAM
• Un usuario de IAM
Lección 3: Protección de una cuenta nueva de AWS
Cuando se crea una cuenta de AWS por primera vez, se crea automáticamente una identidad de
inicio de sesión conocida como usuario raíz de la cuenta. Esta identidad tiene acceso total a todos los
servicios y recursos de AWS en esa cuenta. Para acceder a esta cuenta raíz, se utiliza la dirección de
correo electrónico y la contraseña utilizadas durante la creación de la cuenta al iniciar sesión en la consola
de administración de AWS.
Sin embargo, es importante destacar que AWS recomienda evitar el uso de las credenciales del
usuario raíz para las actividades diarias de la cuenta. En su lugar, se aconseja utilizar AWS Identity and
Access Management (IAM) para crear usuarios adicionales y asignar permisos específicos a cada usuario,
siguiendo el principio de mínimo privilegio. Por ejemplo, si se requieren permisos de administrador, es
preferible crear un usuario IAM, asignarle acceso total y utilizar esas credenciales para las interacciones
con la cuenta. De esta manera, si es necesario modificar o revocar los permisos en el futuro, se pueden
Además, si hay varios usuarios que necesitan acceso a la cuenta, se pueden crear credenciales
únicas para cada uno de ellos y definir detalladamente qué recursos pueden acceder. Por ejemplo, se
pueden crear usuarios IAM con permisos de solo lectura para ciertos recursos y distribuir esas
credenciales solo a los usuarios que necesitan ese nivel de acceso. Es fundamental evitar compartir las
mismas credenciales entre varios usuarios para mantener un control de acceso seguro y bien administrado.
Aunque el usuario raíz de la cuenta no debe utilizarse para tareas rutinarias, hay
algunas tareas que solo se pueden cumplir iniciando sesión como usuario raíz de la cuenta.
Puede encontrar una lista completa de estas tareas en la página de documentación de AWS.
Para dejar de utilizar el usuario raíz de la cuenta, siga los siguientes pasos:
1. Cuando haya iniciado sesión en el usuario raíz de la cuenta, cree un usuario de IAM
todavía no asocie ningún permiso al usuario). Guarde las claves de acceso de usuario
de IAM si es necesario.
asocie políticas de IAM al grupo que conceda acceso completo a al menos unos
pocos de los servicios que utilizará. Luego, agregue al usuario de IAM al grupo.
que existan.
4. Habilite una política de contraseñas para todos los usuarios. Copie el enlace de inicio
de sesión de los usuarios de IAM desde la página del panel de IAM. A continuación,
5. Vaya al enlace de inicio de sesión de los usuarios de IAM que copió e inicie sesión
Para ver instrucciones detalladas sobre cómo configurar su primer usuario y grupo de IAM,
habilitar la Autenticación Multifactor (MFA), tanto para el usuario raíz de la cuenta como
para todos los demás usuarios de IAM. La MFA requiere un segundo factor de
seguridad. Además, la MFA puede ser utilizada para controlar el acceso a través de
Tiene algunas opciones para recuperar el token de MFA necesario para iniciar
sesión cuando la MFA está habilitada. Las opciones incluyen aplicaciones virtuales
con clave de seguridad U2F y opciones de MFA de hardware que proporcionan un llavero
AWS CloudTrail está habilitado para crear cuentas de forma predeterminada en todas
Puede ver y descargar la actividad de la cuenta de los últimos 90 días con relación a
Para habilitar la retención de registros de CloudTrail más allá de los últimos 90 días
y habilitar las alertas cuando haya eventos específicos, cree un nuevo registro de
detalladas paso a paso sobre cómo crear un registro de seguimiento en AWS CloudTrail,
habilitar los informes de facturación, como el informe de uso y costo de AWS. Los
los costos estimados de dicho uso. AWS envía los informes a un bucket de Amazon S3
que usted especifique y AWS los actualiza al menos una vez al día.
AWS y proporciona los cargos estimados, ya sea por hora o por día.
Consulte la documentación de AWS para obtener más información acerca de cómo crear un
El mentor puede optar por mostrar una explicación completa de los dos primeros
pasos principales que debe completar para proteger una nueva cuenta de AWS. (Estos pasos
se han descrito en las diapositivas anteriores). En las diapositivas de esta lección, se muestran
consola de IAM cuando ha iniciado sesión como usuario raíz de la cuenta de AWS.
Pasos a seguir para obtener acceso a esta pantalla en una cuenta:
cuenta de AWS.
de estado de seguridad (Elimine las claves de acceso raíz). El objetivo de una persona que
completa los pasos para proteger la cuenta es recibir marcas verdes junto a cada elemento
de estado de seguridad.
cuenta que el número de cuenta se ocultó en esta captura de pantalla. Si lo desea, puede
sesión de usuario de IAM para cambiar el nombre de la cuenta de forma que no muestre el
número de cuenta. Este enlace se utiliza para iniciar sesión en la cuenta y se puede enviar a
cuenta. Para iniciar sesión como usuario raíz de la cuenta, utilice la dirección de email con
la que creó la cuenta. El usuario raíz de la cuenta tiene acceso a todo, por lo que es
importante proteger esta cuenta con restricciones.
1. Haga clic en el enlace Activate MFA on your root account (Activar MFA en su
cuenta raíz).
3. Haga clic en Assign MFA device (Asignar dispositivo MFA). Tiene tres
hardware real.
4. Para esta demostración, seleccione Virtual MFA device (Dispositivo MFA virtual
5. Aparece un nuevo cuadro de diálogo que pide configurar un dispositivo MFA virtual.
Debe descargarse una aplicación (como Google Authenticator) para esta tarea. Una
vez completa la descarga, haga clic en Show QR code (Mostrar código QR).
6. En la aplicación de autenticación, seleccione el signo más (+).
icono de marca de verificación verde que indica que la MFA está activada en el usuario
raíz de la cuenta.
La mayoría de las cuentas de AWS se comparten entre varios usuarios de una
organización. Para admitir esta práctica, puede configurar cada usuario con permisos
asignados individualmente o puede agregar usuarios al grupo de IAM adecuado que les
propio inicio de sesión de usuario de IAM para que no inicie sesión como usuario raíz de
la cuenta con privilegios globales ni utilice las mismas credenciales que otra persona para
3. Seleccione Access type (Tipo de acceso). Existen dos tipos de acceso (puede
conceder uno o ambos tipos al usuario, pero para esta demostración, conceda ambos
tipos):
AWS para aprovisionar recursos. Esta opción generará una clave de acceso por
única vez. Se la debe guardar ya que será necesaria para todos los accesos
futuros.
Nota: un grupo son los usuarios que heredan las políticas asignadas.
7. Asigne un nombre al grupo. En este ejemplo, conceda acceso administrativo
grupo).
8. Seleccione Next Review (Siguiente revisión) para revisar lo que se creará
1. Un ID de clave de acceso que se puede utilizar para firmar las llamadas a la API de
2. Una clave de acceso secreta que también se utiliza para firmar llamadas a la API de
administración de AWS.
Seleccione Show (Mostrar) para mostrar los valores de cada campo. Las
oportunidad de recuperar la clave de acceso secreta después de esta pantalla. Por lo tanto,
debe descargar las credenciales o, como mínimo, copiar la clave de acceso secreta y pegarla
en un lugar seguro.
nunca incruste estas credenciales en el código que cargue en GitHub o en otro lugar).
Puede usar esta información para acceder a su cuenta. Si alguna vez le preocupa que sus
credenciales se hayan visto comprometidas, inicie sesión como usuario con permisos de
Create individual IAM users (Crear usuarios de IAM individuales) y Use groups to assign
permissions (Usar grupos para asignar permisos) deberían mostrar que se han tratado.
contraseñas de IAM.
La política de contraseñas de IAM es un conjunto de reglas que define el tipo de
Seleccione las reglas que deben cumplir las contraseñas y, a continuación, seleccione
significa que su cuenta ahora satisface todas las verificaciones de seguridad de IAM que se muestran.
recomendadas para proteger una cuenta de AWS. Estas prácticas recomendadas son las
siguientes:
de mínimo privilegio.
• Inspeccionar políticas de IAM a medida que se apliquen a los grupos creados previamente
• Seguir una situación real y agregar usuarios a grupos que tengan capacidades
específicas habilitadas
• Experimentar con los efectos de las políticas de IAM en el acceso a los recursos de AWS
En el diagrama, se muestran los recursos que tendrá su cuenta de AWS después de
completar los pasos del laboratorio. También, se describe cómo se configurarán los
recursos.
Presentación de la lección 4: Protección de Cuentas y Datos AWS
políticas de acceso específicas a cada una. Por ejemplo, puede agrupar cuentas con requisitos normativos
similares en una OU y luego aplicar una política que restringe su acceso a ciertos servicios de AWS según
esos requisitos.
Otra característica es la integración con IAM, lo que permite un control extendido a nivel de
cuenta. Esto significa que puede definir qué pueden hacer los usuarios y roles en una cuenta o grupo de
cuentas. Los permisos se determinan por la intersección entre las políticas de AWS Organizations y las
los permisos máximos para las cuentas miembro. Con las SCP, se puede restringir específicamente el
acceso a acciones, recursos y servicios de AWS para cada cuenta. Estas restricciones anulan incluso los
permisos otorgados explícitamente por los administradores de las cuentas miembro, garantizando un
Las SCP ofrecen control central de los permisos máximos disponibles para todas
las cuentas de la organización. De esta manera, le permite asegurarse de que sus cuentas
cumplan en todo momento las directrices de control de acceso de la organización. Las SCP
solo están disponibles en una organización que tiene todas las características habilitadas,
Para obtener instrucciones sobre cómo habilitar las SCP, consulte Habilitación y
prácticamente la misma sintaxis. Sin embargo, una SCP nunca concede permisos. Las
SCP son políticas de JSON que especifican los permisos máximos para una organización
o unidad organizativa (OU). Asociar una SCP al nodo raíz de la organización o a una
unidad organizativa (OU) establece una protección para las acciones que pueden realizar
las cuentas del nodo raíz de la organización o la unidad organizativa. Sin embargo, no
sustituye las configuraciones de IAM bien administradas dentro de cada cuenta. Además,
tendrá que asociar políticas de IAM a los usuarios y a los roles de las cuentas de la
y administrar claves de cifrado, así como controlar el uso del cifrado en una amplia gama
de servicios de AWS y sus aplicaciones. AWS KMS es un servicio seguro y resistente que
proteger sus claves. AWS KMS también se integra AWS CloudTrail para ofrecerle los
registros de uso de todas las claves a fin de que satisfagan sus necesidades vinculadas con
Las claves maestras de cliente (CMK) se utilizan para controlar el acceso a las
claves de cifrado de datos que cifran y descifran los datos. Puede crear nuevas claves
maestras cuando lo desee y puede administrar quién tiene acceso a estas claves y en qué
AWS KMS se integra a la mayoría de los servicios de AWS, lo que significa que
puede utilizar claves maestras de AWS KMS para controlar el cifrado de los datos que
almacena en estos servicios. Para obtener más información, consulte las características de
desde su aplicación. Le permite definir roles y asignar usuarios a estos roles para que su aplicación solo
El servicio utiliza estándares comunes de gestión de identidades, como SAML 2.0. SAML es un
estándar abierto que facilita el intercambio de información de identidad y seguridad entre aplicaciones y
proveedores de servicios. Esto significa que puede utilizar las credenciales de su directorio corporativo,
como el nombre de usuario y la contraseña de Microsoft Active Directory, para iniciar sesión en
aplicaciones y servicios compatibles con SAML a través de un único inicio de sesión (SSO).
cumplimiento, incluidos los de sectores altamente regulados como la atención médica y el comercio.
Puede utilizarse en entornos que requieren cumplimiento de normativas como HIPAA, PCI DSS, SOC
(Control de Organizaciones), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e ISO 9001
AWS Shield es un servicio administrado de protección contra ataques de
tiempo de inactividad y latencia de las aplicaciones, por lo que no hay necesidad de contar
AWS Shield le ayuda a proteger su sitio web de todos los tipos de ataques DDoS,
incluidos los ataques en la capa de la infraestructura (como las inundaciones del protocolo
(como las inundaciones TCP SYN) y los ataques en la capa de la aplicación (como las
Advanced.
AWS Shield Standard se habilita automáticamente para todos los clientes de AWS sin costo
adicional.
AWS Shield Advanced es un servicio de pago opcional. AWS Shield Advanced ofrece
protecciones adicionales ante los ataques más grandes y sofisticados para las aplicaciones
que se ejecutan en Amazon EC2, Elastic Load Balancing, Amazon CloudFront, AWS
Global Accelerator y Amazon Route 53. AWS Shield Advanced está disponible para todos
los clientes. Sin embargo, para ponerse en contacto con el equipo de respuesta de DDoS,
los clientes necesitan contar con Enterprise Support o Business Support de AWS Support.
El cifrado de datos es una técnica fundamental para salvaguardar información digital.
Funciona transformando los datos en un formato ilegible a menos que se disponga de una clave
secreta para descifrarlos. De esta manera, incluso si un intruso logra acceder a los datos, no podrá
comprender su contenido.
Puede crear sistemas de archivos cifrados en AWS para que todos sus datos y
Encryption Standard (AES) de 256 bits. Cuando utiliza AWS KMS, el cifrado y el descifrado
en todos los servicios que almacenan sus datos. Puede cifrar los datos almacenados en
Consulte cómo los servicios de AWS utilizan AWS KMS para obtener una lista de los
servicios admitidos.
Los datos en tránsito se refieren a los datos que se mueven a través de la red. El
Layer Security (TLS) 1.2 con un cifrado AES de 256 bits estándar abierto. TLS
e implementar certificados SSL o TLS para su uso con los servicios de AWS y sus
recursos internos conectados. Los certificados de SSL o TLS se usan para proteger las
comunicaciones por red y para definir la identidad de sitios web mediante Internet y
recursos en redes privadas. Con AWS Certificate Manager, puede solicitar un certificado
certificados.
tráfico que se ejecuta a través de HTTP seguro (HTTPS) se cifra mediante TLS o SSL.
ejemplos de cifrado para datos en tránsito. El primer ejemplo muestra una instancia EC2
Para obtener más información acerca de esta configuración, consulte Cifrado de datos de
EFS en tránsito.
pueden acceder los usuarios a los que se les concede acceso explícitamente. Es
• El uso de Amazon S3 Block Public Access. Esta configuración anula cualquier otra
política o permisos de objetos. Habilite Block Public Access para todos los buckets
autenticarse mediante IAM. Las políticas de bucket se pueden configurar para conceder
acceso entre cuentas de AWS o para conceder acceso público o anónimo a los datos de
probarse en su totalidad.
Se puede especificar una denegación de acceso en una política de bucket. Estará
restringido incluso si los usuarios tienen permisos concedidos en una política basada en
ACL se utilizan con menos frecuencia (las ACL preceden a la IAM). Si utiliza ACL, no
de buckets, que es una herramienta útil para descubrir si alguno de los buckets de su
para ofrecer a los clientes información sobre las políticas, los procesos y los controles que
Para obtener más información acerca de qué servicios de AWS están incluidos en el ámbito
de los programas de garantía de AWS, consulte Servicios de AWS en el ámbito del programa
de conformidad.
Como ejemplo de una certificación en la que puede utilizar los servicios de AWS
integral.
AWS también ofrece características de seguridad y acuerdos legales diseñados para
El Centro del GDPR contiene muchos recursos para ayudar a los clientes a cumplir sus
sus recursos en la nube de AWS. Automáticamente supervisa y registra las configuraciones de sus
recursos, permitiendo comparar con las configuraciones ideales que se establecen. De esta manera, puede
detectar y analizar los cambios en las configuraciones, así como las relaciones entre los distintos recursos
El tablero de AWS Config proporciona un inventario completo de todos los recursos en su cuenta,
mostrando su estado de conformidad con las reglas de configuración establecidas. Los recursos que no
cumplen con las reglas se destacan, lo que le alerta sobre posibles problemas de configuración que
de las políticas, los procesos y los controles que establece y opera AWS.
• AWS Config se utiliza para analizar, auditar y evaluar las configuraciones de los
recursos de AWS.
conocimientos y un debate sobre una pregunta del examen de certificación como práctica.
permitidos sin aprobación previa, qué tipos de pruebas requieren aprobación y qué
Evaluación de conocimientos
a) Servidor web
b) Grupo de IAM
c) Almacenamiento de datos
d) Base de datos
a) Contraseña única
b) Certificado SSL
c) ID de clave de acceso
d) Dirección IP estática
5. ¿Cuál de los siguientes es uno de los pasos recomendados para proteger una nueva cuenta de AWS?
a) Utilizar siempre las credenciales de usuario raíz para todas las interacciones.
b) Habilitar la autenticación de dos factores (MFA) para el usuario raíz y los usuarios de IAM.
Respuesta correcta: b) Habilitar la autenticación de dos factores (MFA) para el usuario raíz y los usuarios de IAM.
a) Usuario Root
b) Usuario Secundario
c) Usuario Terciario
d) Usuario Superior
10. Los programas de conformidad de AWS están diseñados para verificar el cumplimiento de normativas y
Verdadero ( )
Falso ( )
Respuesta correcta Falso