No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Aprende Ingl茅s, Programaci贸n, AI, Ciberseguridad y m谩s a precio especial.

Antes: $249

Currency
$209
Suscr铆bete

Termina en:

2 D铆as
19 Hrs
41 Min
3 Seg

IAM ilustrado

9/15
Recursos

Identity and Access Management (IAM) es un servicio gratuito que nos ayuda a administrar los accesos a los servicios y recursos de tu cuenta en AWS. A su vez, puedes crear usuarios, grupos y establecer permisos de acceso a los recursos mediante el uso de pol铆ticas.

Usuarios y grupos de usuarios de IAM

Los usuarios y grupos de usuarios son de los principales componentes de IAM. Al crear tu cuenta de AWS te proporcionan un usuario Root que tiene acceso a todos los recursos,

Este usuario puede generar otros perfiles y cada uno con un acceso 煤nico a distintos recursos de AWS. Adem谩s, Root tambi茅n puede configurar grupos de usuarios, donde cada miembro tiene y puede compartir permisos de acceso.

Ejemplos de pol铆ticas de IAM

El acceso a recursos se otorga mediante pol铆ticas. Este es un ejemplo de una pol铆tica que otorga acceso de administrador.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Tambi茅n est谩 este ejemplo de pol铆ticas de acceso a un bucket de S3 (almacenamiento)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:53 ::: bucket-name"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3: GetObject",
                "s3: PutObject",
            ],
            "Resource": "arn:aws:53 ::: bucket-name /*"
        }
    ]
}

IAM Roles

Adem谩s de todas estas funciones, IAM de AWS permite asumir roles y otorgar permisos a otras tecnolog铆as. Por ejemplo, podemos conceder a una m谩quina virtual el acceso a una base de datos mediante un rol de IAM.

Contribuci贸n creada con los aportes de: Ciro Villafraz.

Aportes 31

Preguntas 2

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

Un bucket es donde se almacenan los archivos en S3

AWS Identity and Access Management (IAM) proporciona un control de acceso detallado en todo AWS. Con IAM, puede especificar qui茅n puede acceder a qu茅 servicios y recursos, y en qu茅 condiciones. Con las pol铆ticas de IAM, administre los permisos de su personal y sus sistemas para garantizar los permisos de privilegios m铆nimos.

IAM es un servicio de AWS que se ofrece sin cargo adicional. Para comenzar a utilizar IAM, o si ya se ha registrado en AWS, vaya a la consola de IAM.

M谩s detalles en la p谩gina https://aws.amazon.com/es/iam/.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:53 ::: bucket-name"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3: GetObject",
                "s3: PutObject",
            ],
            "Resource": "arn:aws:53 ::: bucket-name /*"
        }
    ]
}

IAM

  • Nos ayuda a administrar qui茅n puede acceder a qu茅 en los servicios y recursos de tu cuenta en AWS

  • Puedes crear usuarios y grupos

  • Establecer permisos permitir o denegar el acceso a los recursos de AWS mediante el uso de pol铆ticas

Como feedback al profesor, deberia de intentar hacer mas interactiva la clase, lo que estoy viendo es unicamente como alguien lee diapositivas,

Los usuarios de Linux: daaa eso ya existe!!! 馃槢

iam

nos ayuda a administrar quien puede acceder a que en los servicios y recursos de tu cuenta en aws

*puedes crear usuarios y grupos

*establecer permisos para permitir o denegar el acceso a los recursos de aws mediante el uso de politicas

Pol铆ticas IAM

Estructura del Statement

  • Effect: Allow (Permitir) o Deny (Denegar)
  • Action: A qu茅 servicios de AWS se aplica esta pol铆tica (Permite usar la wildcard 鈥*鈥 que significa aplicar a todos)
  • Resource: Identificador de d贸nde est谩 almacenado el servicio al que se le aplicar谩 la pol铆tica (Permite usar la wildcard 鈥*鈥 que significa aplicar a todos)

DIFERENCIA ENTRE USUARIO Y ROL de IAM en aws:
Un rol de IAM es similar a un usuario de IAM, ya que es una identidad de AWS con pol铆ticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Sin embargo, en lugar de asociarse 煤nicamente con una persona, se pretende que un rol sea asumido por cualquier persona que lo necesite. Adem谩s, un rol no tiene credenciales est谩ndar a largo plazo, como una contrase帽a o claves de acceso asociadas. En cambio, cuando asume un rol, le proporciona credenciales de seguridad temporales para su sesi贸n de rol.

Siendo sincero, me est谩 costando seguir el curso. M谩s que leer de las diapositivas, me gustar铆a ver m谩s al profesor Alexis hablando desde sus propios conocimientos, ya que estoy seguro de que posee un gran abanico. Creo que esto mejorar铆a sustancialmente las clases.

Muy bueno lo de los IAM Roles! Adem谩s de expandir las funcionalidades de permisos, abre un abanico de vulnerabilidades interesantes para auditar desde el punto de vista del ethical hacking.
Ej:
Permitir todos los 鈥減rincipals鈥 al asumir un rol. Un 鈥減rincipal鈥, una entidad principal del servicio, es un identificador de un servicio. La vulnerabilidad: las pol铆ticas de confianza del rol de IAM permiten que todos los 鈥減rincipals鈥 asuman el rol.

Por qu茅 es peligroso: Permitir que cualquier usuario de IAM de cualquier cuenta de AWS asuma un rol en SU cuenta les otorga a ellos acceso a todos los permisos en ese rol de IAM, lo que podr铆a ser catastr贸fico y conducir a un escalamiento de privilegios, exfiltraci贸n de datos y dem谩s. Se debe asegurar que las pol铆ticas de confianza de los roles no contengan todos los siguientes elementos:

Effect: 鈥淎llow鈥
Principal: "*"
Accion:sts:AssumeRole鈥

C贸mo solucionarlo: reemplazar el comod铆n con un principal espec铆fico.

Aqu铆 vemos un ejemplo de c贸mo se puede solicitar el permiso del rol para un principal arbitrario root:

\

Fuentes:
https://www.praetorian.com/blog/aws-iam-assume-role-vulnerabilities/
https://docs.fugue.co/FG_R00219.html
https://www.fugue.co/blog/6-big-aws-iam-vulnerabilities-and-how-to-avoid-them
https://www.velotio.com/engineering-blog/hacking-your-way-around-aws-iam-roles

Informaci贸n resumida de esta clase
#EstudiantesDePlatzi

  • IAM: Identity access Management

  • IAM: Es un servicio para administrar quien puede acceder a que en los servicios y recursos de nuestra cuenta AWS

  • All铆 podemos crear usuarios y grupos

  • Dentro de usuarios IAM existen varios usuarios y roles

  • El usuario ra铆z es la cuenta principal que tendr谩 acceso a todos los servicios de AWS

  • Podemos crear grupos para asignar permisos

  • Es importante aprender a crear pol铆ticas en archivos j.son

  • Un servicio puede asumir un rol

IAM ~ normalmente pronunciado /ai am/ como 鈥測o soy/estoy鈥 en ingl茅s, un m贸dulo com煤n en los servicios de la nube (de identidad y administraci贸n de acceso)馃殌馃

Esta muy interesante todo este mundo de AWS

Que buena explicaci贸n sobre IAM en AWS
Link en el que podras encontrar una ampliaci贸n al servicio de administraci贸n de acceso a recursos: <https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/introduction.html>
No estoy seguro de si mas adelante las clases muestran cosas practicas pero por ahora la dinamica es solo explicar diapositivas y parte de la informacion esta incompleta. :)

Su estructura puede ser la siguiente:

 {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["service:Action"],
      "Resource": ["resource-arn"]
    },
    {
      "Effect": "Deny",
      "Action": ["service:Action"],
      "Resource": ["resource-arn"]
    }
  ]
}

En la pol铆tica, 鈥淰ersion鈥 especifica la versi贸n del lenguaje de pol铆tica, 鈥淪tatement鈥 contiene una o m谩s declaraciones que definen los permisos y restricciones, 鈥淓ffect鈥 puede ser 鈥淎llow鈥 (permitir) o 鈥淒eny鈥 (denegar), 鈥淎ction鈥 indica la acci贸n o acciones permitidas o denegadas, y 鈥淩esource鈥 especifica el recurso o recursos en los que se aplican los permisos

Un bucket en Amazon S3 (Simple Storage Service) es un contenedor de objetos, donde los objetos son los archivos que almacenamos en la nube. Un bucket de S3 tiene un nombre globalmente 煤nico, lo que significa que no puede haber dos buckets con el mismo nombre en todo S3. Los objetos en un bucket de S3 pueden ser p煤blicos o privados, y se puede configurar diferentes permisos de acceso a los objetos. Los buckets de S3 se pueden utilizar para almacenar y distribuir contenido est谩tico como im谩genes, videos, archivos de audio, p谩ginas web, entre otros.

Usuarios IAM

Excelente la clase, como detalle estar铆a muy bien que las fuentes en el video fueran m谩s grandes鈥 cuesta leerlas.

IAM funciona mediante la creaci贸n de usuarios, grupos y pol铆ticas de acceso. Los usuarios son las entidades que interact煤an con los recursos de AWS, y pueden ser personas o aplicaciones. Los grupos son conjuntos de usuarios que comparten las mismas pol铆ticas de acceso. Las pol铆ticas son documentos de texto plano que especifican qu茅 acciones pueden realizar los usuarios o grupos en qu茅 recursos de AWS.

Para dar acceso a un recurso, se asigna una pol铆tica a un usuario o grupo. Esta pol铆tica puede permitir o denegar acceso a ciertas acciones en un recurso espec铆fico.

Adem谩s, IAM tambi茅n proporciona un mecanismo de autenticaci贸n para asegurar que solo los usuarios autorizados puedan interactuar con los recursos de AWS. Por ejemplo, se puede utilizar la autenticaci贸n de contrase帽as o la autenticaci贸n basada en tokens (por ejemplo, OAuth) para asegurar que solo los usuarios leg铆timos puedan obtener acceso a los recursos de AWS.

En resumen, IAM es un servicio de AWS que permite a los administradores controlar qui茅n tiene acceso a los recursos de AWS, y qu茅 acciones pueden realizar en ellos. Utilizando usuarios, grupos y pol铆ticas de acceso, se puede crear una estrategia de seguridad robusta para proteger los recursos de AWS.

interesante, para todo podemso usar vscode jajaj 馃槂

Super interesante y se debe de conocer los comandos que limitan o proponen servicios en AWS

Roles IAM:

Ejemplo de pol铆tica IAM con acceso al bucket de S3:

Ejemplo de pol铆tica IAM:

Caso de uso, usuarios IAM:

Tipos de usuarios IAM:

驴Que es IAM (Identity and Access Management)?