AWS anunció el lanzamiento de una nueva capacidad en AWS Identity and Access Management (IAM) que permite a los equipos de seguridad administrar de forma centralizada el acceso raíz para las cuentas miembro en AWS Organizations. Esta función ayuda a eliminar las credenciales raíz a largo plazo, realizar tareas privilegiadas a través de sesiones de corta duración y administrar de forma centralizada el acceso raíz, lo que se alinea con las mejores prácticas de seguridad.

La administración de credenciales de usuario raíz a escala ha sido durante mucho tiempo un desafío para muchas organizaciones. A medida que crecían los entornos de AWS, el enfoque manual para administrar estas credenciales se volvió engorroso y propenso a errores. Por ejemplo, las grandes empresas que operan cientos o miles de cuentas miembro tenían dificultades para asegurar el acceso raíz de manera consistente en todas las cuentas. La intervención manual no solo agregó gastos generales operativos, sino que también creó un retraso en el aprovisionamiento de cuentas, lo que impidió la automatización completa y aumentó los riesgos de seguridad.

Con esta nueva función, los equipos de seguridad ahora pueden administrar y proteger de forma centralizada las credenciales raíz privilegiadas en todas las cuentas en AWS Organizations. La administración de credenciales raíz permite la eliminación de credenciales raíz a largo plazo, evita la recuperación de credenciales, aprovisiona cuentas seguras de forma predeterminada y ayuda a mantener el cumplimiento. Además, las sesiones raíz ofrecen acceso raíz a corto plazo y con ámbito de tarea a las cuentas miembro, eliminando la necesidad de credenciales raíz a largo plazo.

Un ejemplo interesante de cómo esta función resuelve problemas es la capacidad de los equipos de seguridad para desbloquear una política de depósito de Amazon S3 o una política de recursos de Amazon SQS sin necesidad de credenciales raíz a largo plazo. Esta capacidad proporciona una alternativa segura al mantenimiento del acceso raíz a largo plazo, lo que reduce los riesgos de seguridad potenciales.

En resumen, esta nueva función permite a las organizaciones administrar el acceso raíz de forma más segura, eficiente y compatible. Al eliminar las credenciales raíz a largo plazo, realizar tareas privilegiadas a través de sesiones de corta duración y administrar de forma centralizada el acceso raíz, las organizaciones pueden mejorar su postura de seguridad y simplificar sus operaciones.