Configuración de su entorno de AWS
GUÍA DE INTRODUCCIÓN
Módulo 2: Protección de su cuenta de AWS
En este módulo, aprenderá prácticas recomendadas para proteger su cuenta de AWS.
Introducción
Cuando configura una cuenta de AWS nueva, necesita proteger el usuario raíz y crear usuarios de AWS IAM adicionales para iniciar sesión en la cuenta. El usuario raíz es una cuenta especial que tiene acceso completo a la cuenta y puede realizar todas las acciones, lo que incluye el cambio de métodos de pago o el cierre de la cuenta. Por este motivo, se recomienda protegerlo con autenticación de doble factor y configurar usuarios de IAM adicionales para iniciar sesión. Este módulo cubrirá la protección del usuario raíz y la configuración de los usuarios de IAM.
Lo que aprenderá
- Cómo proteger la cuenta de usuario raíz
- Cómo configurar los usuarios de IAM adicionales
Tiempo de realización
5 minutos
Requisitos del módulo
- Un navegador de Internet
Implementación
Protección del usuario raíz
Una vez que haya iniciado sesión en la cuenta de AWS recién creada, escriba IAM en el cuadro de búsqueda en la parte superior central de la página y haga clic en IAM. En “Security alerts” (Alertas de seguridad), se le pedirá confirmación para proteger el usuario raíz con autenticación multifactor (MFA). Haga clic en Enable MFA (Habilitar MFA) y luego en Activate MFA (Activar MFA) en la siguiente pantalla.
Deberá elegir entre las opciones de MFA disponibles. Para ver la información general de las opciones, lea la guía de autenticación multifactor. Si no está seguro de qué opción escoger, elija Virtual MFA device (Dispositivo MFA virtual) e instale una de las aplicaciones disponibles para su teléfono móvil. Observe cómo la aplicación de autenticación que eligió se encarga de las copias de seguridad y las restauraciones, ya que en el futuro es posible que necesite configurar la aplicación en un teléfono diferente. Se ha protegido el inicio de sesión del usuario raíz.
Configuración de usuarios y roles adicionales
Se considera una práctica recomendada de seguridad no utilizar su cuenta raíz para uso diario y, en su lugar, crear usuarios independientes para roles y funciones específicos. Para configurar uno, primero creará un grupo de usuarios de IAM, que tendrá un conjunto de permisos que se aplicará a cualquier usuario que forme parte del grupo. Haga clic en User groups (Grupos de usuarios) en la navegación de la izquierda y luego en Create group (Crear grupo). Ingrese el nombre del grupo, como “administradores” y, luego, desplácese hacia abajo hasta Attach permissions policies (Adjuntar políticas de permisos). Busque “AdministratorAccess”, luego verifique la casilla junto a la política con el nombre “AdministratorAccess”, desplácese hacia abajo y haga clic en Create Group (Crear grupo).
A continuación, para crear un usuario de IAM, haga clic en Users (Usuarios) en la barra de navegación de la izquierda y luego en Add user (Agregar usuario). Después de ingresar un nombre de usuario, debe seleccionar el tipo de acceso de AWS. El acceso mediante programación creará un ID de clave de acceso y un par secreto para utilizar con la AWS CLI, el CDK y otras aplicaciones, y el acceso a la consola de administración de AWS permitirá al usuario iniciar sesión en la consola de AWS para esta cuenta. Para esta guía, seleccione estas dos opciones.
Haga clic en Next (Siguiente) para agregar el usuario al grupo que creamos, selecciónelo en la lista y, luego, haga clic en Next: Tags (Siguiente: Etiquetas).
Las etiquetas son útiles para buscar recursos entre servicios o para agregar metadatos como departamento. Para nuestro caso de uso, haga clic en Next: Review (Siguiente: Revisión) sin agregar una etiqueta. Ahora puede revisar los valores establecidos para el usuario que está creando antes de crearlo. Notará que hay una política administrada adicional llamada “IAMUserChangePassword” agregada debajo de la llamada “administrators” que creamos. Esto se agrega a cualquier usuario donde se seleccionó la opción para forzarlo a cambiar la contraseña, ya que no todas las políticas de IAM contienen los permisos necesarios.
Haga clic en Create user (Crear usuario) para crear el usuario. Verá la pantalla de confirmación para el usuario, pero NO haga clic en el botón Close (Cerrar) todavía. Solo se puede acceder a la contraseña generada de forma automática y a la clave de acceso secreta para acceder a la API desde esta pantalla una sola vez. Escriba el ID de clave de acceso, la clave de acceso secreta y la contraseña, que se utilizarán en el próximo módulo de esta guía. Luego, haga clic en Close (Cerrar).
Últimos pasos
Antes de cerrar sesión y comenzar a utilizar nuestro usuario de IAM nuevo, hay dos pasos más que debe completar. El primer paso es la definición de un alias para nuestra cuenta que sea más fácil de recordar que los 12 dígitos del ID de la cuenta. Para establecerlo, haga clic en Dashboard (Panel) en la barra de navegación izquierda y, luego, haga clic en Create (Crear) debajo de la sección “AWS Account” (Cuenta de AWS) en el panel derecho. Ahora puede configurar un alias para su cuenta, que debe ser único a nivel mundial en todas las cuentas de AWS; por lo que es posible que su primera opción no esté disponible.
Haga clic en Save (Guardar) para establecer el valor y, luego, copie la URL generada para utilizar después en esta guía. Tendrá el formato https://<su-texto>.signin.aws.amazon.com/console.
El último paso que debe completar es la habilitación de todas las regiones que necesite utilizar. Esto solo se aplica a las regiones lanzadas después del 20 de marzo de 2019. En la actualidad, se incluyen las siguientes regiones:
- África (Ciudad del Cabo)
- Asia-Pacífico (Hong Kong)
- Europa (Milán)
- Medio Oriente (Baréin)
Conclusión
Felicitaciones, aprendió cómo proteger su cuenta. Recuerde cerrar la sesión y volver a iniciarla con la cuenta de usuario nueva que creó anteriormente.
A continuación: Configuración de la AWS CLI