Apéndice D. Ejemplo Práctico de Aplicación del Principio del Mínimo Privilegio

En este apéndice, intentaré mostrarte un ejemplo práctico de cómo los profesionales de la seguridad pueden aplicar el principio del mínimo privilegio (PoLP) para crear políticas de Gestión de Identidad y Acceso (IAM) en AWS. En el Capítulo 2 se habló extensamente de PoLP, pero como recordatorio, el propósito de PoLP es garantizar que cada principal (un usuario de AWS o rol de AWS) dentro de una organización obtenga sólo los privilegios de acceso mínimos que necesita para realizar su trabajo y nada más. El acceso se controla en AWS mediante políticas IAM. Cada política IAM de una cuenta debe servir a un propósito específico y existir independientemente del principal al que esté vinculada.

Consideremos una organización típica que tiene muchos departamentos. En este ejemplo, quiero permitir que los empleados del departamento financiero accedan a los objetos de un determinado bucket de Amazon Simple Storage Service (Amazon S3) dentro de la cuenta de la organización. Como administrador de seguridad responsable, quiero asegurarme de que aplico la PoLP al definir las políticas de acceso para los principales (usuarios o roles) dentro de mi organización.

Por lo tanto, para garantizar el acceso, haré cumplir las siguientes condiciones:

• El principal al que se adjunta esta política debe tener la etiqueta AWS departamento establecida en finanzas. En otras palabras, quiero asegurarme de que el principal (el usuario ...