AWS Organizations

Antes de adentrarnos en el tema de organizaciones, es esencial familiarizarse con algunos términos clave. AWS Organizations es un servicio de AWS que permite a los clientes crear "organizaciones". Una organización está compuesta por una o más cuentas individuales de AWS. En la Figura 2 a continuación, la Cuenta A es la cuenta que creó la organización y, por lo tanto, se denomina la cuenta de gestión.

La cuenta de gestión posee privilegios similares a los de un administrador sobre toda la organización. Esta puede invitar a otras cuentas de AWS, eliminar cuentas de AWS, suprimir una organización, adjuntar políticas y más. En la Figura 2, la Cuenta A invitó a la Cuenta B y a la Cuenta C a unirse a su organización. Las Cuentas B y C siguen siendo cuentas de AWS separadas, pero al aceptar la invitación de la Cuenta A, sus referencias aparecen dentro de la entidad organizativa de la Cuenta A. Una vez aceptada la invitación, las Cuentas B y C se convierten en cuentas miembro y, por defecto, tienen muchos menos privilegios que la cuenta de gestión.

Una cuenta miembro por defecto solo puede ver algunos datos asociados con la cuenta de gestión. No puede leer otra información de la organización, ni puede realizar cambios en la organización. Las cuentas miembro por defecto están tan aisladas que no tienen visibilidad sobre qué otras cuentas miembro existen dentro de la organización, viendo únicamente a sí mismas y el número de la cuenta de gestión.

Las Unidades Organizativas (OUs) pueden considerarse como "carpetas" creadas por los clientes que se utilizan para organizar los recursos de las cuentas. Root es una entidad especial que aparece en cada Organización de AWS y puede considerarse funcionalmente equivalente a una OU bajo la cual existen todas las cuentas.

Finalmente, es importante destacar que el acceso a AWS Organizations desde una cuenta de gestión, como la Cuenta A, ofrece una disposición de interfaz de usuario (UI) distinta en comparación con el acceso desde una cuenta miembro, como la Cuenta C (Figura 3 versus Figura 4). Se puede observar que la barra de navegación izquierda varía notablemente. Debido a que las cuentas miembro tienen permisos considerablemente más limitados respecto a la organización, intentar acceder a secciones como "Cuentas de AWS" o "Políticas" desde una cuenta miembro por defecto resulta en errores de permisos, como se esperaría. Estas diferencias son herramientas útiles para los evaluadores en el proceso de determinar si tienen acceso a una cuenta de gestión o a una cuenta miembro durante las pruebas de penetración en AWS.

Esta distinción en la experiencia de usuario subraya la importancia de una gestión cuidadosa de permisos y accesos dentro de la estructura de AWS Organizations. Los evaluadores de seguridad, al notar estas diferencias, pueden identificar rápidamente su nivel de acceso y ajustar sus estrategias de prueba en consecuencia. Además, esta variación en la UI resalta la necesidad de familiarizarse con las configuraciones de seguridad de AWS para navegar eficazmente y evaluar la postura de seguridad de las organizaciones en la nube.