¿Qué prácticas recomendadas de IAM mejoran la seguridad de una cuenta de AWS? (Elija DOS opciones.)
Pregunta para elegir dos prácticas recomendadas de seguridad de IAM.
Conceder PowerUserAccess a todos los desarrolladores de forma predeterminada para que el trabajo no se detenga por permisos insuficientes.
PowerUserAccess es una política administrada muy amplia que permite casi todas las acciones, excepto la administración de IAM.
Conceder permisos amplios de forma predeterminada por comodidad viola el principio de privilegio mínimo y aumenta el alcance del daño ante un error o una fuga de credenciales, por lo que es incorrecto.
Habilitar MFA para los usuarios con privilegios y el usuario raíz.
Correcto. La MFA (autenticación multifactor) es un mecanismo que exige un factor de verificación adicional, como un código de un solo uso de una aplicación de autenticación, además de la contraseña al iniciar sesión. Habilitar la MFA para los usuarios con privilegios y el usuario raíz ayuda a evitar el inicio de sesión no autorizado aunque se filtre una contraseña. Cuanto más crítica es la cuenta, más se recomienda la MFA.
Conceder a los usuarios solo los permisos mínimos necesarios para su trabajo.
Correcto. Seguir el principio de privilegio mínimo y permitir solo las acciones necesarias minimiza el impacto de una fuga o un error. Es fundamental en el diseño de IAM.
Emitir claves de acceso de larga duración para las aplicaciones en lugar de usar roles de IAM.
Las claves de acceso de larga duración deben rotarse y revocarse manualmente y pueden abusarse durante mucho tiempo si se filtran.
La práctica recomendada es usar credenciales temporales mediante roles de IAM para las aplicaciones en EC2, por lo que el uso habitual de claves de larga duración no se recomienda y esto es incorrecto.
Si se configura MFA en el usuario raíz, se puede omitir la MFA para los usuarios de IAM.
Configurar MFA en el usuario raíz es en sí una práctica recomendada correcta, pero un usuario de IAM con privilegios comprometido también puede causar un daño considerable, por lo que no puede excluirse de la MFA.
La recomendación es habilitar la MFA para los usuarios con privilegios además del usuario raíz, así que afirmar que se puede omitir es erróneo y esto es incorrecto.
Prácticas recomendadas de IAM: MFA para usuarios con privilegios/raíz, conceder privilegio mínimo, evitar el uso diario de raíz, no codificar de forma fija las claves de acceso y usar roles y credenciales temporales.