Repositorio central de usuarios
Repositorio de usuario centralizado utilizando su directorio existente federado como proveedor de identidades
Es recomendable utilizar repositorios de usuarios centralizados tales como AWS Directory Services (Active Directory/SimpleAD), Okta, Azure Active Directory, PingIdentity, OneLogin, para evitar el uso de credenciales duraderas como los usuarios de IAM / Access Keys y reducir el riesgo de credenciales comprometidas y Access Keys expuestas.
AWS IAM Identity Center
La integración de su repositorio utilizando el AWS IAM Identity Center (sucesor de AWS Single Sign-On) es simple y proporciona credenciales temporales a los usuarios que acceden a AWS.
Si su organización recién comienza y aún no tiene un repositorio, puede usar el directorio interno de AWS IAM Identity Center. Usando este repositorio, aún obtendrá los beneficios de usar credenciales temporales.
Es también importante que dicho repositorio esté integrado al sistema de gestión de recursos humanos para propagar las bajas de los empleados (ya sea a través de un sistema de gestión de identidades o directamente en el repositorio central de autenticación)
Well Architected Framework - Recomendación relacionada
- SEC02-BP04 Recurrir a un proveedor de identidades centralizado
- SEC02-BP02 Usar credenciales temporales
Precios
AWS IAM Identity Center (sucesor de AWS Single Sign-On) es un servicio gratuito de AWS que facilita la gestión de las identidades en múltiples cuentas.