Lab 2 Creación de identidades, políticas y editor visual

Clase 5 de 75Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Resumen

La gestión de identidades y accesos en AWS es fundamental para mantener la seguridad de tus recursos en la nube. Mediante el servicio IAM (Identity and Access Management), puedes controlar quién tiene acceso a qué recursos y con qué nivel de permisos, permitiéndote implementar el principio de privilegio mínimo. En este artículo, exploraremos cómo crear usuarios con diferentes niveles de acceso y aplicar políticas específicas para cumplir con los requisitos de seguridad de tu organización.

¿Cómo crear usuarios con diferentes niveles de acceso en AWS IAM?

Cuando trabajamos en entornos empresariales, es común necesitar crear diferentes tipos de usuarios con distintos niveles de acceso. En este caso, vamos a abordar una tarea específica: crear dos usuarios, uno con permisos administrativos completos y otro con acceso limitado, específicamente sin permisos para el servicio EC2.

Para comenzar, debemos acceder a la consola de AWS y dirigirnos al servicio IAM. Podemos hacerlo de dos maneras:

  • Utilizando la barra de búsqueda en la parte superior
  • Seleccionándolo desde los servicios recientemente visitados

Una vez dentro del servicio IAM, encontraremos diferentes opciones como usuarios, roles y políticas. Para nuestra tarea, nos centraremos en la creación de usuarios y la asignación de políticas.

Creación del usuario administrador

El primer usuario que crearemos será el administrador, que necesita permisos completos para gestionar recursos en AWS. Para este usuario, utilizaremos una política administrada por AWS, lo que simplifica el proceso de asignación de permisos.

Al crear este usuario, debemos:

  1. Proporcionar un nombre descriptivo (por ejemplo, "administrador")
  2. Configurar las credenciales de seguridad
  3. Adjuntar la política "AdministratorAccess", que es una política gestionada por AWS

Esta política otorga permisos amplios, permitiendo al usuario realizar prácticamente cualquier acción en los servicios de AWS. Es importante recordar que las políticas gestionadas por AWS tienen una estructura predefinida y son mantenidas por Amazon, lo que significa que se actualizan automáticamente cuando se añaden nuevos servicios o funcionalidades.

Creación del usuario practicante con acceso limitado

El segundo usuario será un "practicante" con acceso restringido. Específicamente, necesitamos asegurarnos de que este usuario no tenga acceso al servicio EC2. Para lograr esto, crearemos una política personalizada utilizando el editor visual de IAM.

Para crear este usuario:

  1. Proporcionar un nombre descriptivo (por ejemplo, "practicante")
  2. Configurar las credenciales de seguridad
  3. Crear y adjuntar una política personalizada que deniegue explícitamente todas las acciones en el servicio EC2

La política personalizada que crearemos utilizará la acción "Deny" para bloquear cualquier operación relacionada con EC2. Esta es una forma efectiva de restringir el acceso a servicios específicos mientras se permite el acceso a otros recursos.

¿Cómo verificar que las políticas de acceso funcionan correctamente?

Una vez creados los usuarios y asignadas las políticas correspondientes, es fundamental verificar que las restricciones de acceso funcionan como esperamos. Para probar el usuario practicante, podemos:

  1. Abrir una ventana de navegación en modo incógnito
  2. Iniciar sesión con las credenciales del usuario practicante
  3. Intentar acceder al servicio EC2 y realizar acciones

Al iniciar sesión como usuario practicante, notaremos inmediatamente algunas diferencias en la interfaz. Aparecerán mensajes de "acceso denegado" al intentar realizar ciertas acciones, especialmente aquellas relacionadas con el servicio EC2.

Si intentamos lanzar una instancia EC2, el sistema mostrará errores a nivel de API. Incluso si completamos los campos necesarios para crear una instancia, la operación fallará debido a la política de denegación que hemos asociado al usuario.

Esta verificación confirma que nuestra configuración de permisos está funcionando correctamente, ya que el usuario practicante no puede realizar acciones en el servicio EC2, tal como se requería.

¿Qué otros aspectos importantes de IAM debemos conocer?

Además de la creación de usuarios y políticas, IAM ofrece otras funcionalidades importantes para la gestión de seguridad:

Tipos de políticas en IAM

En AWS IAM existen principalmente dos tipos de políticas:

  • Políticas administradas por AWS: Son políticas predefinidas creadas y mantenidas por AWS. Estas políticas se actualizan automáticamente cuando se añaden nuevos servicios o funcionalidades.

  • Políticas administradas por el cliente: Son políticas personalizadas que creamos nosotros mismos. Podemos crearlas utilizando el editor visual, que proporciona una interfaz intuitiva, o directamente en formato JSON para configuraciones más avanzadas.

Herramientas adicionales de IAM

IAM también proporciona herramientas útiles para monitorear y analizar el acceso:

  • Credential Report: Permite generar y descargar informes que listan todos los usuarios de tu cuenta AWS y el estado de sus credenciales.

  • Access Analyzer: Ayuda a identificar los recursos de tu organización que se comparten con entidades externas, lo que puede representar un riesgo de seguridad.

Estas herramientas son fundamentales para mantener un entorno seguro y cumplir con las mejores prácticas de seguridad en la nube.

La gestión adecuada de identidades y accesos es crucial para mantener la seguridad de tus recursos en AWS. Mediante la creación de usuarios con diferentes niveles de permisos y la aplicación de políticas específicas, puedes implementar el principio de privilegio mínimo y reducir los riesgos de seguridad. ¿Has implementado políticas personalizadas en tu entorno AWS? Comparte tu experiencia en los comentarios.