šŸ„‡ Otras funcionalidades de IAM.

šŸæ Multi-Factor Authentication (MFA)

Multi-Factor Authentication (MFA) aƱade una capa extra de seguridad a si infraestructura al aƱadir un segundo metodo de identificaciĆ³n mas alla del password o del access key. Con MFA, la identificaciĆ³n tambien requiere ingresar un One-Time Password (OTP), desde un dispotivo. El MFA puede ser un hardware o software, que lleve con udsted, o un dispositivo virtual via un app en su smarthphone.

MFA requiere veriticar la identidad de dos formas… con algo que sabe y algo que lleve.

MFA puede ser asignado a una cuenta de usuario, sea una persona o una aplicaciĆ³n. Cuando una persona utiliza IAM con intentos de MFA para accesar a la consola, despues de proveer el password, el sistema solicitarĆ” ingresar el codigo mostrado en el dispositivo MFA.

Es altamente recomendable que los clientes de AWS agreguen proteccion MFA a sus usuarios root.

šŸæ Rotating Keys (Rotacion de Llaves).

El riesgo sobre las credenciales incrementa conforme al tiempo. Por ello una recomendaciĆ³n es habilitar rotate access keys (rotaciĆ³n de llaves) para los usuarios de IAM. Este proceso se realiza permitiendo dos llaves de acceso al mismo tiempo, y puede ser realizado mediante la consola, el cli o el SDK.

  1. Cree una nueva key para el usuario.
  2. Reconfigure todas las aplicaciones para que utilicen la nueva key.
  3. Deshabilite la key original (deshabilitar en lugar de borrar es un priceso crĆ­tico que permite revertir el cambio si se presenta un error).
  4. Verifique la operaciĆ³n de todas las aplicaciones.
  5. Borre la key original.

šŸæ Resolviendo multiples permisos.

En ocasiones se aplican multiples permisos que determinan si un privilegio se otorga o no a una acciĆ³n. Estos permisos pueden venir en forma de policies asociadas al principal, o policies sobre un recurso. Es importante saber como se conflictuan estos permisos.

  1. Inicialmente el request es denegado por default.
  2. Todas las policies son evaluadas; si existe un “deny” explicito en cualquier policy, el reques es denegado y la evaluaciĆ³n se detiene.
  3. Si no hay un deny explicito y se encuentra un “allow” la peticion es aceptada.
  4. Si no se encuentra ningun “allow” o “deny”, entonces el default “deny” es mantenido y la peticion es denegada.

La Ćŗnica excepciĆ³n a esta regla es si una llamada AssumeRole incluye un rol y una policy, la policy no puede expandir el privilegio del role.

AutorizaciĆ³n. Bases de Datos en AWS.
comments powered by Disqus