¿Qué tipo de credenciales de AWS comparte con proveedores de servicios externos?

Además de la respuesta de Wai-Ming Lee, IAM le da la opción de no crear un usuario de IAM en su cuenta de AWS, sino delegar tareas a otra cuenta de AWS y, por lo tanto, ‘confiar’ en un usuario de IAM en una cuenta diferente (por ejemplo, en una cuenta de su proveedor de servicios).

(vea más detalles aquí: Mejores prácticas de IAM)

De esa manera, ahorra el esfuerzo de administrar el usuario de IAM y aún puede definir parámetros de acceso importantes, como el uso de un dispositivo MFA. (Para el usuario remoto)

Desafortunadamente, implementar tal flujo de autenticación en el proveedor de servicios sigue siendo un esfuerzo, quizás AWS podría pensar en algo como un ‘oAuth’-Flow para permitirle dar acceso, por ejemplo, a un proveedor de servicios.

La forma más segura sería utilizar AWS Identity Access Management (IAM): cree un usuario específico y asígnele un nombre que pueda reconocer como utilizado por un tercero. Por ejemplo, yo uso Loggly (Log Management | Cloud Log Management Service | Loggly) para manejar algunos de mis archivos de registro. Su servicio necesita acceso a un repositorio S3 que tengo, así que creé un usuario llamado ‘s3_loggly’ y lo bloqueé de inmediato. Entonces, contraseña enormemente larga y complicada, etc. Luego adjunté una política específica que otorgaba permisos suficientes para que esta cuenta de usuario acceda a una carpeta específica dentro de un depósito específico (que contenía los archivos de registro), luego creé una nueva clave de acceso y compartí la clave con la cuenta loggly.

Trabajo hecho.

Nunca dé la clave de acceso para el usuario raíz de su cuenta de AWS. Y siempre que sea posible, nunca lo use usted mismo.

Puede crear un usuario de IAM dedicado para el servicio de terceros. A partir de ese usuario de IAM, puede crear claves de acceso para dar a terceros. Sin embargo, si esas claves de acceso fueran comprometidas, entonces podrían ser utilizadas por cualquiera que las tenga en sus manos.

La forma más segura de compartir credenciales de AWS para su cuenta de AWS con proveedores de servicios de terceros es mediante el uso de roles de IAM de terceros.

AWS le permite configurar un rol de IAM que crea una relación de “confianza” entre su cuenta de AWS y la cuenta de AWS de un tercero. A través de la relación de “confianza”, AWS garantiza que solo ese tercero pueda acceder a su cuenta de AWS mediante el rol. Si la información del rol se viera comprometida, no podría ser utilizada por otra parte.

Puede encontrar más información sobre los roles de IAM en la documentación de AWS: Cómo proporcionar acceso a cuentas de AWS propiedad de terceros

Evidentemente ha elaborado una publicación de blog sobre cómo otorgar acceso de terceros a su cuenta de AWS: Administración del acceso de terceros a sus cuentas de AWS

Ya sea que cree un rol de IAM o un usuario de IAM para el servicio de terceros, debe asegurarse de que se adjunte un documento de política de IAM muy restrictivo a las credenciales. Solo se deben permitir las operaciones que requiera el tercero, y nunca más.

Hola,

La solución correcta a este problema es utilizar AWS Identity and Access Management Solution (IAM). Más información en http://aws.amazon.com/iam/

Básicamente, esto le permite crear una cuenta separada con capacidades limitadas (según elija). Luego lo compartes con tu asesor. Esa cuenta IAM puede ser revocada más tarde. Soy cofundador de una empresa de consultoría de AWS, si necesita ayuda, envíenos una línea a [correo electrónico protegido] ( http://cloud9ers.com ). Si necesita capacitación de AWS, consulte http: //www.cloud-computing-train …

Aclamaciones