Seguridad de la Cuenta Root
Aprende a proteger la cuenta root de AWS y cuándo usarla.
1¿Qué es la Cuenta Root?
La cuenta root (o usuario root) es la identidad que se crea cuando abres una cuenta de AWS por primera vez. Tiene acceso completo e irrestricto a todos los recursos y servicios de la cuenta.
Características:
- Se accede con el email usado al crear la cuenta
- Tiene todos los permisos posibles
- No se puede limitar con políticas IAM
- Es la única que puede realizar ciertas tareas
⚠️ La cuenta root es el activo más valioso y peligroso de tu cuenta AWS
2Tareas Exclusivas del Root
Algunas tareas solo pueden realizarse con la cuenta root:
Gestión de Cuenta:
- Cambiar el nombre, email o contraseña de la cuenta
- Cerrar la cuenta de AWS
- Cambiar el plan de AWS Support
- Ver ciertas páginas de facturación
Configuración de Cuenta:
- Activar/desactivar IAM access to billing
- Restaurar permisos de IAM accidentalmente eliminados
- Registrar como seller en Marketplace
Servicios Específicos:
- Crear claves de CloudFront (signed URLs)
- Configurar un bucket S3 para habilitar MFA Delete
- Transferir Route 53 domains a otra cuenta
- Cambiar o cancelar el plan de AWS Support
Para todo lo demás:
Usa usuarios IAM o roles con los permisos apropiados
3Mejores Prácticas de Seguridad
1. Activar MFA (Multi-Factor Authentication)
¡OBLIGATORIO! MFA agrega una segunda capa de autenticación.
Opciones de MFA:
| Tipo | Descripción |
|---|---|
| Virtual MFA | App como Google Authenticator, Authy |
| Hardware MFA | Llave física (YubiKey, Gemalto) |
| FIDO2 Security Key | Autenticación sin contraseña |
Cómo activar:
- Inicia sesión como root
- IAM → Security credentials
- Assign MFA device
2. No Crear Access Keys
La cuenta root no debería tener access keys.
- Si existen, elimínalas
- Usa IAM users o roles para acceso programático
- Las access keys de root son extremadamente peligrosas
3. No Usar Root para Tareas Diarias
Crea un usuario IAM administrador para tareas diarias:
- Crea usuario IAM
- Asigna la política AdministratorAccess
- Activa MFA en ese usuario
- Usa ese usuario en lugar de root
4. Contraseña Fuerte y Única
- Mínimo 14 caracteres
- Combinación de mayúsculas, minúsculas, números, símbolos
- No reutilizar de otras cuentas
- Guardar en password manager seguro
4Monitoreo y Alertas
CloudTrail para Auditoría
CloudTrail registra todas las acciones realizadas, incluyendo las del root:
Acción registrada:
- Quién: root
- Qué: ConsoleLogin
- Cuándo: 2024-01-15T10:30:00Z
- Desde dónde: IP 192.168.1.1
Alertas de Uso de Root
Configura alarmas para detectar uso del root:
Con CloudWatch:
- Crea un metric filter en CloudTrail logs
- Filtra por
"$.userIdentity.type" = "Root" - Crea alarma cuando count > 0
- Notifica por SNS (email/SMS)
Con EventBridge:
- Crea regla para eventos de login de root
- Target: SNS topic para notificaciones
AWS Config
Usa Config Rules para verificar:
root-account-mfa-enabled: Alerta si MFA no está activoiam-root-access-key-check: Alerta si existen access keys
5Escenarios de Compromiso
¿Qué hacer si sospechas que root está comprometida?
Pasos inmediatos:
- Cambiar la contraseña de root inmediatamente
- Rotar/eliminar todas las access keys (si existen)
- Revisar y eliminar usuarios IAM sospechosos
- Verificar recursos creados recientemente
- Revisar CloudTrail logs
Señales de compromiso:
- Recursos que no creaste (especialmente EC2 en regiones inusuales)
- Costos inesperados
- Usuarios IAM desconocidos
- Cambios en políticas de seguridad
- Emails de AWS sobre actividad sospechosa
Contactar a AWS:
Si confirmas un compromiso, abre un caso de soporte con AWS inmediatamente. Ellos pueden ayudar a identificar y remediar la brecha.
6AWS Organizations y Root
En un ambiente multi-cuenta con Organizations:
Cuenta de gestión (Management Account):
- Tiene el root principal de la organización
- Puede crear y gestionar cuentas miembro
- Puede aplicar SCPs (Service Control Policies)
Cuentas miembro:
- Cada cuenta tiene su propio usuario root
- Las SCPs pueden limitar qué puede hacer el root de cuentas miembro
- Pero el root de la cuenta de gestión no está limitado por SCPs
SCPs y Root:
Una SCP puede denegar acciones incluso al root de una cuenta miembro:
{
"Effect": "Deny",
"Action": [
"ec2:TerminateInstances"
],
"Resource": "*"
}
Con esta SCP, ni siquiera el root de la cuenta miembro puede terminar instancias EC2.
7Root en el Examen CLF-C02
Puntos clave:
- Root tiene acceso total: No se puede limitar con políticas IAM
- MFA es obligatorio: Primera medida de seguridad
- No usar para tareas diarias: Solo para tareas exclusivas
- No crear access keys: Peligro de exposición
- Monitorear con CloudTrail: Detectar uso no autorizado
- SCPs pueden limitar root de cuentas miembro (pero no el de management account)
Preguntas típicas:
"¿Cuál es la primera acción para asegurar una nueva cuenta AWS?" → Activar MFA en la cuenta root
"¿Qué usuario puede cerrar una cuenta de AWS?" → Solo el usuario root
"¿Cómo monitorear si alguien usa la cuenta root?" → CloudTrail + CloudWatch Alarms
"¿Las SCPs pueden limitar a la cuenta root?" → Sí, en cuentas miembro. No en la cuenta de gestión.
"¿Debería la cuenta root tener access keys?" → No, nunca. Usar IAM users/roles para acceso programático.
Puntos Clave para el Examen
- Root tiene acceso total e irrestricto a la cuenta AWS
- MFA obligatorio en root (primera medida de seguridad)
- No usar root para tareas diarias, crear IAM admin
- No crear access keys para root
- Solo root puede: cerrar cuenta, cambiar email, cambiar plan de soporte
- CloudTrail + alarmas para detectar uso de root
- SCPs pueden limitar root de cuentas miembro (no management)