Un bucket es donde se almacenan los archivos en S3
Presentación del curso: requisitos y objetivos
¿Cómo aprender AWS en Platzi?
Introducción al Cloud Computing
Visión general de las TI tradicionales
Qué es la computacion en la nube
Los diferentes tipos de cómputo: IaaS vs. PaaS vs. SaaS
Introduccion a AWS
Una pequeña historia de AWS
Una visión global: regiones y zonas de disponibilidad
Laboratorio: crea tu cuenta en AWS
Roles, seguridad e identidad
Seguridad e identidad
IAM ilustrado
Secrets Manager
Demostración del servicio de directorio
Laboratorio: crea usuarios y grupos en AWS
Laboratorio: crea una alerta de facturación
Bonus: sesiones en vivo
Live: Crea tu primera web con AWS
Próximos pasos
Toma el Curso de Almacenamiento, Cómputo y Bases de Datos en AWS
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
No se trata de lo que quieres comprar, sino de quién quieres ser. Aprovecha el precio especial.
Antes: $249
Paga en 4 cuotas sin intereses
Termina en:
Enrique Alexis Lopez Araujo
Identity and Access Management (IAM) es un servicio gratuito que nos ayuda a administrar los accesos a los servicios y recursos de tu cuenta en AWS. A su vez, puedes crear usuarios, grupos y establecer permisos de acceso a los recursos mediante el uso de políticas.
Los usuarios y grupos de usuarios son de los principales componentes de IAM. Al crear tu cuenta de AWS te proporcionan un usuario Root que tiene acceso a todos los recursos,
Este usuario puede generar otros perfiles y cada uno con un acceso único a distintos recursos de AWS. Además, Root también puede configurar grupos de usuarios, donde cada miembro tiene y puede compartir permisos de acceso.
El acceso a recursos se otorga mediante políticas. Este es un ejemplo de una política que otorga acceso de administrador.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
También está este ejemplo de políticas de acceso a un bucket de S3 (almacenamiento)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:53 ::: bucket-name"
},
{
"Effect": "Allow",
"Action": [
"s3: GetObject",
"s3: PutObject",
],
"Resource": "arn:aws:53 ::: bucket-name /*"
}
]
}
Además de todas estas funciones, IAM de AWS permite asumir roles y otorgar permisos a otras tecnologías. Por ejemplo, podemos conceder a una máquina virtual el acceso a una base de datos mediante un rol de IAM.
Contribución creada con los aportes de: Ciro Villafraz.
Aportes 35
Preguntas 2
Un bucket es donde se almacenan los archivos en S3
Como feedback al profesor, deberia de intentar hacer mas interactiva la clase, lo que estoy viendo es unicamente como alguien lee diapositivas,
Nos ayuda a administrar quién puede acceder a qué en los servicios y recursos de tu cuenta en AWS
Puedes crear usuarios y grupos
Establecer permisos permitir o denegar el acceso a los recursos de AWS mediante el uso de políticas
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:53 ::: bucket-name"
},
{
"Effect": "Allow",
"Action": [
"s3: GetObject",
"s3: PutObject",
],
"Resource": "arn:aws:53 ::: bucket-name /*"
}
]
}
Los usuarios de Linux: daaa eso ya existe!!! 😛
iam
nos ayuda a administrar quien puede acceder a que en los servicios y recursos de tu cuenta en aws
*puedes crear usuarios y grupos
*establecer permisos para permitir o denegar el acceso a los recursos de aws mediante el uso de politicas
DIFERENCIA ENTRE USUARIO Y ROL de IAM en aws:
Un rol de IAM es similar a un usuario de IAM, ya que es una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Sin embargo, en lugar de asociarse únicamente con una persona, se pretende que un rol sea asumido por cualquier persona que lo necesite. Además, un rol no tiene credenciales estándar a largo plazo, como una contraseña o claves de acceso asociadas. En cambio, cuando asume un rol, le proporciona credenciales de seguridad temporales para su sesión de rol.
IAM funciona mediante la creación de usuarios, grupos y políticas de acceso. Los usuarios son las entidades que interactúan con los recursos de AWS, y pueden ser personas o aplicaciones. Los grupos son conjuntos de usuarios que comparten las mismas políticas de acceso. Las políticas son documentos de texto plano que especifican qué acciones pueden realizar los usuarios o grupos en qué recursos de AWS.
Para dar acceso a un recurso, se asigna una política a un usuario o grupo. Esta política puede permitir o denegar acceso a ciertas acciones en un recurso específico.
Además, IAM también proporciona un mecanismo de autenticación para asegurar que solo los usuarios autorizados puedan interactuar con los recursos de AWS. Por ejemplo, se puede utilizar la autenticación de contraseñas o la autenticación basada en tokens (por ejemplo, OAuth) para asegurar que solo los usuarios legítimos puedan obtener acceso a los recursos de AWS.
En resumen, IAM es un servicio de AWS que permite a los administradores controlar quién tiene acceso a los recursos de AWS, y qué acciones pueden realizar en ellos. Utilizando usuarios, grupos y políticas de acceso, se puede crear una estrategia de seguridad robusta para proteger los recursos de AWS.
Un bucket en Amazon S3 (Simple Storage Service) es un contenedor de objetos, donde los objetos son los archivos que almacenamos en la nube. Un bucket de S3 tiene un nombre globalmente único, lo que significa que no puede haber dos buckets con el mismo nombre en todo S3. Los objetos en un bucket de S3 pueden ser públicos o privados, y se puede configurar diferentes permisos de acceso a los objetos. Los buckets de S3 se pueden utilizar para almacenar y distribuir contenido estático como imágenes, videos, archivos de audio, páginas web, entre otros.
Muy bueno lo de los IAM Roles! Además de expandir las funcionalidades de permisos, abre un abanico de vulnerabilidades interesantes para auditar desde el punto de vista del ethical hacking.
Ej:
Permitir todos los “principals” al asumir un rol. Un “principal”, una entidad principal del servicio, es un identificador de un servicio. La vulnerabilidad: las políticas de confianza del rol de IAM permiten que todos los “principals” asuman el rol.
Por qué es peligroso: Permitir que cualquier usuario de IAM de cualquier cuenta de AWS asuma un rol en SU cuenta les otorga a ellos acceso a todos los permisos en ese rol de IAM, lo que podría ser catastrófico y conducir a un escalamiento de privilegios, exfiltración de datos y demás. Se debe asegurar que las políticas de confianza de los roles no contengan todos los siguientes elementos:
Effect: “Allow”
Principal: "*"
Accion: “sts:AssumeRole”
Cómo solucionarlo: reemplazar el comodín con un principal específico.
Aquí vemos un ejemplo de cómo se puede solicitar el permiso del rol para un principal arbitrario root:
\
Fuentes:
https://www.praetorian.com/blog/aws-iam-assume-role-vulnerabilities/
https://docs.fugue.co/FG_R00219.html
https://www.fugue.co/blog/6-big-aws-iam-vulnerabilities-and-how-to-avoid-them
https://www.velotio.com/engineering-blog/hacking-your-way-around-aws-iam-roles
Información resumida de esta clase
#EstudiantesDePlatzi
IAM: Identity access Management
IAM: Es un servicio para administrar quien puede acceder a que en los servicios y recursos de nuestra cuenta AWS
Allí podemos crear usuarios y grupos
Dentro de usuarios IAM existen varios usuarios y roles
El usuario raíz es la cuenta principal que tendrá acceso a todos los servicios de AWS
Podemos crear grupos para asignar permisos
Es importante aprender a crear políticas en archivos j.son
Un servicio puede asumir un rol
IAM ~ normalmente pronunciado /ai am/ como “yo soy/estoy” en inglés, un módulo común en los servicios de la nube (de identidad y administración de acceso)🚀🤟
Esta muy interesante todo este mundo de AWS
Su estructura puede ser la siguiente:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["service:Action"],
"Resource": ["resource-arn"]
},
{
"Effect": "Deny",
"Action": ["service:Action"],
"Resource": ["resource-arn"]
}
]
}
En la política, “Version” especifica la versión del lenguaje de política, “Statement” contiene una o más declaraciones que definen los permisos y restricciones, “Effect” puede ser “Allow” (permitir) o “Deny” (denegar), “Action” indica la acción o acciones permitidas o denegadas, y “Resource” especifica el recurso o recursos en los que se aplican los permisos
Usuarios IAM
Excelente la clase, como detalle estaría muy bien que las fuentes en el video fueran más grandes… cuesta leerlas.
interesante, para todo podemso usar vscode jajaj 😃
Super interesante y se debe de conocer los comandos que limitan o proponen servicios en AWS
Roles IAM:
Ejemplo de política IAM con acceso al bucket de S3:
Ejemplo de política IAM:
Caso de uso, usuarios IAM:
Tipos de usuarios IAM:
¿Que es IAM (Identity and Access Management)?
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?