Compartir a través de

Arquitectura de autenticación para conectores de AWS

Al conectar una cuenta de AWS a Microsoft Defender for Cloud, el servicio usa la autenticación federada para llamar de forma segura a las API de AWS sin almacenar credenciales de larga duración. El acceso temporal se concede a través de AWS Security Token Service (STS), mediante credenciales de corta duración intercambiadas a través de una relación de confianza entre nubes.

En este artículo se explica cómo se establece esa confianza y cómo se usan las credenciales de corta duración para acceder a los recursos de AWS de forma segura.

Recursos de autenticación creados en AWS

Durante la incorporación, la plantilla de CloudFormation crea los componentes de autenticación que Defender for Cloud requiere para establecer la confianza entre Microsoft Entra ID y AWS. Estos suelen incluir:

  • Un proveedor de identidades de OpenID Connect enlazado a una aplicación de Microsoft Entra administrada por Microsoft

  • Uno o varios roles de IAM que Defender for Cloud puede asumir a través de la federación de identidades web

En función del plan de Defender que habilite, es posible que se creen recursos adicionales de AWS como parte del proceso de incorporación.

Modelo de proveedor de identidades

Defender for Cloud se autentica en AWS mediante la federación de OIDC con una aplicación Microsoft Entra administrada por Microsoft. Como servicio SaaS, funciona independientemente de los proveedores de identidades administrados por el cliente y no usa identidades del inquilino Entra de un cliente para solicitar credenciales de AWS federadas.

Los recursos de autenticación creados durante la incorporación establecen la relación de confianza necesaria para que Defender for Cloud obtenga credenciales de AWS de corta duración a través de la federación de identidades web.

Flujo de autenticación entre nubes

En el diagrama siguiente se muestra cómo Defender for Cloud se autentica en AWS intercambiando tokens de Microsoft Entra para obtener credenciales de AWS de corta duración.

Diagrama que muestra microsoft Defender for Cloud obteniendo un token de Microsoft Entra ID, que AWS valida e intercambia credenciales de seguridad temporales.

Relaciones de confianza entre roles

El rol de IAM definido por la plantilla de CloudFormation incluye una directiva de confianza que permite a Defender for Cloud asumir el rol a través de la federación de identidades web. AWS solo acepta tokens que cumplen con esta política de confianza, lo que impide que los principales no autorizados asuman el mismo rol.

Las directivas de IAM asociadas a cada rol controlan los permisos concedidos a Defender for Cloud por separado. Estas directivas se pueden limitar para seguir los requisitos de privilegios mínimos de su organización, siempre que se incluyan los permisos mínimos necesarios para los planes de Defender seleccionados.

Captura de pantalla de la entrada del proveedor de identidades AWS CloudFormation creada durante la incorporación.

Condiciones de validación de tokens

Antes de que AWS emite credenciales temporales, realiza varias comprobaciones:

  • La validación de audiencia garantiza que la aplicación esperada solicite acceso.

  • La validación de firma de token comprueba que Microsoft Entra ID firmó el token.

  • La validación de la huella digital del certificado confirma que el firmante coincide con el proveedor de identidades de confianza.

  • Las condiciones de nivel de rol restringen qué identidades federadas pueden asumir el rol y evitar que otras identidades de Microsoft usen el mismo rol.

AWS concede acceso solo cuando todas las reglas de validación se realizan correctamente.

  • Last updated on