Patrones de acceso multi‑tenant y políticas IAM

Uso de almacenes de datos en AWS

Dunieski Otano

AWS Solutions Architect

La brecha de seguridad multi‑tenant

  • App SaaS atiende a 1.000 empresas
  • Un bug permite acceso entre tenants
  • Empleado de A ve datos de B
  • Resultado: pérdida de clientes, demandas, daño reputacional

tenant

Uso de almacenes de datos en AWS

Entender el multi‑tenancy

  • ¿Qué es multi‑tenancy?
    • Varios clientes comparten infraestructura
  • Beneficios
    • Ahorro de costes, mantenimiento más simple
  • Reto
    • Garantizar aislamiento total de datos

multi-tenant

Uso de almacenes de datos en AWS

Patrón: clave de partición por tenant

  • Diseño
    • tenantId como clave de partición
    • Incluye tenantId en cada ítem
  • Ventajas
    • Rentable, escala a miles
  • Requisitos
    • Controles estrictos, políticas IAM

clave

Uso de almacenes de datos en AWS

Patrón: tablas separadas por tenant

  • Diseño
    • Tabla dedicada por tenant
  • Ventajas
    • Mejor aislamiento, cumplimiento más fácil
  • Desventajas
    • Complejidad, límites de tablas

separado

Uso de almacenes de datos en AWS

Patrón: bases de datos separadas por tenant

  • Diseño
    • Base de datos dedicada por tenant
  • Ventajas
    • Aislamiento total, configuraciones a medida
  • Desventajas
    • Mayor coste, sobrecarga operativa

base de datos

Uso de almacenes de datos en AWS

Claves de condición IAM para aislar tenants

  • dynamodb:LeadingKeys
    • Restringe acceso a la clave de partición
  • Política de ejemplo
    • "Permitir si tenantId = tenant-123"
  • Aplicación
    • AWS lo aplica a nivel de API

política-de-bloqueo

Uso de almacenes de datos en AWS

Implementar defensa en profundidad

  • Capa 1: Aplicación
    • Verifica tenantId en el código
  • Capa 2: Política IAM
    • Las condition keys fuerzan aislamiento
  • Capa 3: Diseño de BD
    • Separación física por clave de partición

ataque-por-capas

Uso de almacenes de datos en AWS

Pruebas y validación

  • Probar acceso entre tenants
    • Intenta leer datos de otro tenant
    • Debe fallar con AccessDeniedException
  • Registro de auditoría
    • CloudTrail registra todos los intentos
  • Revisiones periódicas
    • Revisa políticas IAM y patrones de acceso

pruebas

Uso de almacenes de datos en AWS

¡Enhorabuena!

  • Almacenes de datos AWS: DynamoDB, S3, ElastiCache, OpenSearch
  • Diseña y optimiza: diseño de tablas, optimización de almacenamiento
  • Protege los datos: cifrado, gestión de secretos, aislamiento multi‑tenant

curso_completado

Uso de almacenes de datos en AWS

¡Vamos a practicar!

Uso de almacenes de datos en AWS

Preparing Video For Download...