Un bucket es donde se almacenan los archivos en S3
Presentación del curso: requisitos y objetivos
¿Cómo aprender AWS en Platzi?
Introducción al Cloud Computing
Visión general de las TI tradicionales
Qué es la computacion en la nube
Los diferentes tipos de cómputo: IaaS vs. PaaS vs. SaaS
Introduccion a AWS
Una pequeña historia de AWS
Una visión global: regiones y zonas de disponibilidad
Laboratorio: crea tu cuenta en AWS
Roles, seguridad e identidad
Seguridad e identidad
IAM ilustrado
Secrets Manager
Demostración del servicio de directorio
Laboratorio: crea usuarios y grupos en AWS
Laboratorio: crea una alerta de facturación
Bonus: sesiones en vivo
Live: Crea tu primera web con AWS
Próximos pasos
Toma el Curso de Almacenamiento, Cómputo y Bases de Datos en AWS
You don't have access to this class
Keep learning! Join and start boosting your career
If you already have an account,
Resources
Identity and Access Management (IAM) is a free service that helps you manage access to services and resources in your AWS account. In turn, you can create users, groups and set access permissions to resources through the use of policies.
IAM users and user groups
Users and user groups are one of the main components of IAM. When you create your AWS account you are provided with a Root user who has access to all resources,
This user can generate other profiles, each with unique access to different AWS resources. In addition, Root can also set up user groups, where each member has and can share access permissions.
Examples of IAM policies
Access to resources is granted through policies. This is an example of a policy that grants administrator access.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*"} ] }There is also this example of S3 bucket access (storage) policies.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket"], "Resource": "arn:aws:53 :::: bucket-name"}, { "Effect": "Allow", "Action": [ "s3: GetObject", "s3: PutObject", ], "Resource": "arn:aws:53 :::: bucket-name /*"} } ] }IAM Roles
In addition to all these functions, AWS IAM allows us to assume roles and grant permissions to other technologies. For example, we can grant a virtual machine access to a database using an IAM role.
Contribution created with contributions from: Ciro Villafraz.
Contributions 37
Questions 3
Sort by:
Como feedback al profesor, deberia de intentar hacer mas interactiva la clase, lo que estoy viendo es unicamente como alguien lee diapositivas,
IAM
-
Nos ayuda a administrar quién puede acceder a qué en los servicios y recursos de tu cuenta en AWS
-
Puedes crear usuarios y grupos
-
Establecer permisos permitir o denegar el acceso a los recursos de AWS mediante el uso de políticas
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:53 ::: bucket-name"
},
{
"Effect": "Allow",
"Action": [
"s3: GetObject",
"s3: PutObject",
],
"Resource": "arn:aws:53 ::: bucket-name /*"
}
]
}
Los usuarios de Linux: daaa eso ya existe!!! 😛
Políticas IAM
Estructura del Statement
- Effect: Allow (Permitir) o Deny (Denegar)
- Action: A qué servicios de AWS se aplica esta política (Permite usar la wildcard “*” que significa aplicar a todos)
- Resource: Identificador de dónde está almacenado el servicio al que se le aplicará la política (Permite usar la wildcard “*” que significa aplicar a todos)
iam
nos ayuda a administrar quien puede acceder a que en los servicios y recursos de tu cuenta en aws
*puedes crear usuarios y grupos
*establecer permisos para permitir o denegar el acceso a los recursos de aws mediante el uso de politicas
DIFERENCIA ENTRE USUARIO Y ROL de IAM en aws:
Un rol de IAM es similar a un usuario de IAM, ya que es una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Sin embargo, en lugar de asociarse únicamente con una persona, se pretende que un rol sea asumido por cualquier persona que lo necesite. Además, un rol no tiene credenciales estándar a largo plazo, como una contraseña o claves de acceso asociadas. En cambio, cuando asume un rol, le proporciona credenciales de seguridad temporales para su sesión de rol.
Siendo sincero, me está costando seguir el curso. Más que leer de las diapositivas, me gustaría ver más al profesor Alexis hablando desde sus propios conocimientos, ya que estoy seguro de que posee un gran abanico. Creo que esto mejoraría sustancialmente las clases.
# 📝 Notas
IAM (Identity and Access Management)
**Servicio que ayuda a administrar**
* quién puede acceder
* a qué servicios puede acceder
* y qué acciones puede realizar en cada servicio
**Lo logra a través de**
* creación de **usuarios**
* creación de **grupos**
* establecer permisos o denegar accesos a recursos mediante **políticas**
Es gratuito y está incuido en todas las cuentas de AWS
Recordar el principio de **Least Privileg**e en el que se establece que cada usuario debe tener acceso solo a los servicios, recursos y acciones estrctamente necesarios.
El usuario root tendrá que crear a los **usuarios** y **roles** necesarios, darles accesos y privilegios apropiados (a través de **Políticas**) de acuerdo a las actividades que van a desempeñar.
Es posible crear Grupos para agregar varios usuarios a estos y poder aplicar las políticas más fácilmente a un conjunto de usuarios.
## Principales elementos
### Usuarios
* **Usuario Root**: es el usuario principal asignado a nosotros cuando creamos la cuenta. Tiene acceso a todos los recursos y acciones de la cuenta. Y puede crear más usuarios y roles
### Policies
* Conjunto de reglas que se aplican a usuarios individuales o en grupo, o a roles individuales.
* Se editan en la consola (portal web) de AWS
* Son documentos JSON que se pueden editar visualmente
* Puden volverse muy complejas
Ejemplo 1 de una policy IAM para un usuario que debe tener acceso a todo del servidor de desarrollo:
```js
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
```
Ejemplo 2 de una policy de IAM para acceder a un Bucket S3 (servicio de almacenamiento de archivos)
```js
{
"Version": "2012-10-17", <- versión del documento de la policy
"Statement": [ <- Conjunto de reglas
{ ----- Primera regla
"Effect": "Allow", <- Permitir o denegar. Esta Permite
"Action": [
"s3:ListBucket" <- Qué tipo de acción se permite o deniega
],
"Resource": "arn:aws:s3:::bucket-name" <- Nombre del servicio al que se aplica el statement (se encuentra en la consola/panel web)
},
{ ------ Segunda regla
"Effect": "Allow", <- Permitir o denegar. Esta Permite
"Action": [
"s3:GetObject",
"s3:PutObject",
],
"Resource": "arn:aws:s3:::bucket-name/*" <- con el * al final se refiere a que el statement se aplica a todos los objetos dentro del bucket
}
]
}
```Roles
Funcionan de manera similar a las políticas. Permiten administrar accesos para usuarios o servicios.
Son una herramienta flexible y segura para otorgar permisos temporales a diferentes entidades sin necesidad de compartir credenciales permanentes.
También son una capa extra de seguridad porque no es solo un usuario y contraseña.
**Sin credenciales fijas**: A diferencia de los usuarios de IAM, los roles no tienen credenciales permanentes (como contraseñas o claves de acceso)
**Asunción de roles**: Los roles son diseñados para ser "asumidos". Esto significa que una entidad (un usuario, una aplicación, un servicio) puede temporalmente tomar los permisos de un rol cuando necesite realizar ciertas acciones. La entidad asume el rol usando el servicio **AWS Security Token Service (STS)**
**Delegación de permisos**: Los roles permiten delegar permisos a:
* **Usuarios** dentro de la misma cuenta de AWS o en otra cuenta.
* **Servicios de AWS** que necesitan permisos para interactuar con otros servicios de AWS en tu nombre, como un rol para EC2 que le permite acceder a S3.
* **Aplicaciones o sistemas externos** que necesitan permisos para interactuar con los recursos de AWS sin compartir claves de acceso o contraseñas.
**Políticas adjuntas**: Los roles pueden tener políticas adjuntas (similares a los usuarios de IAM) que definen qué acciones puede realizar el rol y sobre qué recursos. Cuando una entidad asume un rol, obtiene temporalmente esos permisos.
No estoy seguro de si mas adelante las clases muestran cosas practicas pero por ahora la dinamica es solo explicar diapositivas y parte de la informacion esta incompleta. :)
**AWS Identity and Access Management (IAM)** es un servicio web que te permite controlar de forma segura el acceso a los recursos de AWS. Con IAM, puedes crear y administrar usuarios y grupos, y asignar permisos específicos para acceder a los recursos de AWS
IAM funciona mediante la creación de usuarios, grupos y políticas de acceso. Los usuarios son las entidades que interactúan con los recursos de AWS, y pueden ser personas o aplicaciones. Los grupos son conjuntos de usuarios que comparten las mismas políticas de acceso. Las políticas son documentos de texto plano que especifican qué acciones pueden realizar los usuarios o grupos en qué recursos de AWS.
Para dar acceso a un recurso, se asigna una política a un usuario o grupo. Esta política puede permitir o denegar acceso a ciertas acciones en un recurso específico.
Además, IAM también proporciona un mecanismo de autenticación para asegurar que solo los usuarios autorizados puedan interactuar con los recursos de AWS. Por ejemplo, se puede utilizar la autenticación de contraseñas o la autenticación basada en tokens (por ejemplo, OAuth) para asegurar que solo los usuarios legítimos puedan obtener acceso a los recursos de AWS.
En resumen, IAM es un servicio de AWS que permite a los administradores controlar quién tiene acceso a los recursos de AWS, y qué acciones pueden realizar en ellos. Utilizando usuarios, grupos y políticas de acceso, se puede crear una estrategia de seguridad robusta para proteger los recursos de AWS.
Un bucket en Amazon S3 (Simple Storage Service) es un contenedor de objetos, donde los objetos son los archivos que almacenamos en la nube. Un bucket de S3 tiene un nombre globalmente único, lo que significa que no puede haber dos buckets con el mismo nombre en todo S3. Los objetos en un bucket de S3 pueden ser públicos o privados, y se puede configurar diferentes permisos de acceso a los objetos. Los buckets de S3 se pueden utilizar para almacenar y distribuir contenido estático como imágenes, videos, archivos de audio, páginas web, entre otros.
Muy bueno lo de los IAM Roles! Además de expandir las funcionalidades de permisos, abre un abanico de vulnerabilidades interesantes para auditar desde el punto de vista del ethical hacking.
Ej:
Permitir todos los “principals” al asumir un rol. Un “principal”, una entidad principal del servicio, es un identificador de un servicio. La vulnerabilidad: las políticas de confianza del rol de IAM permiten que todos los “principals” asuman el rol.
Por qué es peligroso: Permitir que cualquier usuario de IAM de cualquier cuenta de AWS asuma un rol en SU cuenta les otorga a ellos acceso a todos los permisos en ese rol de IAM, lo que podría ser catastrófico y conducir a un escalamiento de privilegios, exfiltración de datos y demás. Se debe asegurar que las políticas de confianza de los roles no contengan todos los siguientes elementos:
Effect: “Allow”
Principal: "*"
Accion: “sts:AssumeRole”
Cómo solucionarlo: reemplazar el comodín con un principal específico.
Aquí vemos un ejemplo de cómo se puede solicitar el permiso del rol para un principal arbitrario root:
\
Fuentes:
https://www.praetorian.com/blog/aws-iam-assume-role-vulnerabilities/
https://docs.fugue.co/FG_R00219.html
https://www.fugue.co/blog/6-big-aws-iam-vulnerabilities-and-how-to-avoid-them
https://www.velotio.com/engineering-blog/hacking-your-way-around-aws-iam-roles
Información resumida de esta clase
#EstudiantesDePlatzi
-
IAM: Identity access Management
-
IAM: Es un servicio para administrar quien puede acceder a que en los servicios y recursos de nuestra cuenta AWS
-
Allí podemos crear usuarios y grupos
-
Dentro de usuarios IAM existen varios usuarios y roles
-
El usuario raíz es la cuenta principal que tendrá acceso a todos los servicios de AWS
-
Podemos crear grupos para asignar permisos
-
Es importante aprender a crear políticas en archivos j.son
-
Un servicio puede asumir un rol
IAM ~ normalmente pronunciado /ai am/ como “yo soy/estoy” en inglés, un módulo común en los servicios de la nube (de identidad y administración de acceso)🚀🤟
Esta muy interesante todo este mundo de AWS
Concuerdo con varios de los comentarios. El contenido del curso es bueno sin embargo el profesor no explica absolutamente nada, solo lee.
Este realmente es un curso muy deficiente para ser de Platzi.
**IAM (Identity and Access Management) en AWS** es el servicio que permite gestionar identidades y permisos dentro de AWS. Aquí tienes una ilustración conceptual de cómo funciona IAM:
### **🔹 Componentes Clave de IAM**
1. **Usuarios** 👤 → Representan personas o aplicaciones con acceso a AWS.
2. **Grupos** 👥 → Conjunto de usuarios con permisos comunes.
3. **Roles** 🎭 → Permiten a servicios o cuentas asumir permisos temporales.
4. **Políticas** 📜 → Documentos JSON que definen permisos (ej., acceso a S3, EC2, RDS).
### **🔹 Esquema de Funcionamiento de IAM**
📌 **Ejemplo práctico:**
* Un usuario llamado *Mario* necesita acceso a un bucket S3.
* Se le asigna una política que permite `s3:ListBucket` y `s3:GetObject`.
* Si otro usuario, *Ana*, necesita lo mismo, en lugar de asignar permisos individuales, se coloca a *Mario* y *Ana* en un grupo con la política adecuada.
### **🔹 Representación Gráfica de IAM**
\[ Usuario: Mario ] --> \[ Grupo: Desarrolladores ] --> \[ Política: Acceso a S3 ]
\[ Usuario: Ana ] ----^
✔ **Beneficio**: Administración centralizada, menos errores, más seguridad.
### **🔹 Buenas Prácticas de IAM**
✅ Usar el principio de **menor privilegio**.
✅ Habilitar **MFA (Autenticación Multifactor)** para usuarios críticos.
✅ Usar **roles IAM** en lugar de credenciales estáticas para aplicaciones.
```js
# Create the JSON structure as described in the prompt
iam_structure = {
"Groups": [
{
"GroupName": "Desarrollo",
"Users": ["User_Dev1", "User_Dev2"],
"Policies": ["Política_Desarrollo"]
},
{
"GroupName": "Operaciones",
"Users": ["User_Ops1", "User_Ops2"],
"Policies": ["Política_Operaciones"]
},
{
"GroupName": "Marketing",
"Users": ["User_Mkt1", "User_Mkt2"],
"Policies": ["Política_Marketing"]
}
],
"Roles": [
{
"RoleName": "Aplicación Web",
"Permissions": ["RDS"],
"AssumedBy": ["App_Web1"]
},
{
"RoleName": "Auditoría",
"Permissions": ["Auditoría"],
"AssumedBy": ["External_Audit"]
}
]
}
import json
# Save the JSON structure to a file
file_path = '/mnt/data/iam_structure.json'
with open(file_path, 'w') as file:
json.dump(iam_structure, file, indent=4)
file_path
```# Create the JSON structure as described in the prompt
iam\_structure = {
"Groups": \[
{
"GroupName": "Desarrollo",
"Users": \["User\_Dev1", "User\_Dev2"],
"Policies": \["Política\_Desarrollo"]
},
{
"GroupName": "Operaciones",
"Users": \["User\_Ops1", "User\_Ops2"],
"Policies": \["Política\_Operaciones"]
},
{
"GroupName": "Marketing",
"Users": \["User\_Mkt1", "User\_Mkt2"],
"Policies": \["Política\_Marketing"]
}
],
"Roles": \[
{
"RoleName": "Aplicación Web",
"Permissions": \["RDS"],
"AssumedBy": \["App\_Web1"]
},
{
"RoleName": "Auditoría",
"Permissions": \["Auditoría"],
"AssumedBy": \["External\_Audit"]
}
]
}
import json
\# Save the JSON structure to a file
file\_path = '/mnt/data/iam\_structure.json'
with open(file\_path, 'w') as file:
json.dump(iam\_structure, file, indent=4)
file\_path
`# Create the JSON structure as described in the prompt`
`iam_structure = {`
` "Groups": [`
` {`
` "GroupName": "Desarrollo",`
` "Users": ["User_Dev1", "User_Dev2"],`
` "Policies": ["Política_Desarrollo"]`
` },`
` {`
` "GroupName": "Operaciones",`
` "Users": ["User_Ops1", "User_Ops2"],`
` "Policies": ["Política_Operaciones"]`
` },`
` {`
` "GroupName": "Marketing",`
` "Users": ["User_Mkt1", "User_Mkt2"],`
` "Policies": ["Política_Marketing"]`
` }`
` ],`
` "Roles": [`
` {`
` "RoleName": "Aplicación Web",`
` "Permissions": ["RDS"],`
` "AssumedBy": ["App_Web1"]`
` },`
` {`
` "RoleName": "Auditoría",`
` "Permissions": ["Auditoría"],`
` "AssumedBy": ["External_Audit"]`
` }`
` ]`
`}`
`import json`
`# Save the JSON structure to a file`
`file_path = '/mnt/data/iam_structure.json'`
`with open(file_path, 'w') as file:`
` json.dump(iam_structure, file, indent=4)`
`file_path`
Que buena explicación sobre IAM en AWS
Link en el que podras encontrar una ampliación al servicio de administración de acceso a recursos:
<https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/introduction.html>
Su estructura puede ser la siguiente:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["service:Action"],
"Resource": ["resource-arn"]
},
{
"Effect": "Deny",
"Action": ["service:Action"],
"Resource": ["resource-arn"]
}
]
}
En la política, “Version” especifica la versión del lenguaje de política, “Statement” contiene una o más declaraciones que definen los permisos y restricciones, “Effect” puede ser “Allow” (permitir) o “Deny” (denegar), “Action” indica la acción o acciones permitidas o denegadas, y “Resource” especifica el recurso o recursos en los que se aplican los permisos
Usuarios IAM
Excelente la clase, como detalle estaría muy bien que las fuentes en el video fueran más grandes… cuesta leerlas.
interesante, para todo podemso usar vscode jajaj 😃
Super interesante y se debe de conocer los comandos que limitan o proponen servicios en AWS
Roles IAM:
Ejemplo de política IAM con acceso al bucket de S3:
Ejemplo de política IAM:
Caso de uso, usuarios IAM:
Tipos de usuarios IAM:
¿Que es IAM (Identity and Access Management)?
Want to see more contributions, questions and answers from the community?