No tienes acceso a esta clase

¬°Contin√ļa aprendiendo! √önete y comienza a potenciar tu carrera

Roles IAM para AWS

14/20
Recursos

Aportes 12

Preguntas 0

Ordenar por:

¬ŅQuieres ver m√°s aportes, preguntas y respuestas de la comunidad?

Para ejecutar ciertas acciones dentro de AWS es necesario asignar roles a los servicios para que puedan ejecutar las acciones requeridas.

Ejemplo
Si queremos que una instancia EC2 envíe imágenes o archivos a un bucket de S3, deberemos crear el rol que le permita a la instancia realizar estas acciones con otros servicios, al rol se le deben agregar políticas que le den permisos (sólo los requeridos).

Nota: Es una mala práctica tener Access Key dentro de las máquinas virtuales porque entonces si entran a la instancia podrían tener acceso a los servicios que tenga registrado con los access keys.

Usos comunes

  • EC2
  • Lambda
  • CloudFormation

Usar roles en AWS es como tener diferentes disfraces que te permiten hacer diferentes tareas, pero manteniendo la misma identidad.

Imagina que eres un ni√Īo que tiene una m√°scara de superh√©roe. Cuando usas esa m√°scara, puedes hacer cosas que normalmente no har√≠as, como volar o ser muy fuerte, pero al final del d√≠a sigues siendo t√ļ mismo.

En AWS, un rol es como esa m√°scara de superh√©roe. Te permite hacer ciertas tareas que normalmente no podr√≠as hacer con tu identidad normal, pero a√ļn as√≠ eres la misma persona.

Información resumida de esta clase
#EstudiantesDePlatzi

  • Puedo adjuntar roles a algunos servicios de AWS

  • Los roles nos ayudan con la seguridad y debemos usarlos

  • Los servicios m√°s comunes a los que le puedo dar un rol son: Instancia EC2, funci√≥n de Lambda y Cloudformation

También el assumeRole puede ser usado además de:

  • Cloudformation
  • Ec2
  • Lambda
    también podría ser en ElasticBeanstalk
¬ŅQu√© es un Role IAM? Un **Role IAM** es una entidad de IAM que define un conjunto de permisos para hacer solicitudes a los servicios de AWS. Los roles no est√°n asociados con un usuario espec√≠fico o un grupo, sino que pueden ser asumidos por cualquier entidad que necesite permisos temporales para ejecutar una tarea en particular. Componentes Clave de un Role IAM **Trust Policy (Pol√≠tica de Confianza):** Define qui√©n puede asumir el rol. Por ejemplo, puede ser un usuario, una aplicaci√≥n o un servicio de AWS como EC2 o Lambda. **Permissions Policy (Pol√≠tica de Permisos):** Especifica qu√© acciones se pueden realizar y en qu√© recursos cuando el rol es asumido. **Session Duration (Duraci√≥n de la Sesi√≥n):** Determina cu√°nto tiempo pueden durar las credenciales temporales otorgadas por el rol. **Casos de Uso de Roles IAM** **Roles para Servicios de AWS:** Permiten que los servicios de AWS (como EC2, Lambda, etc.) realicen acciones en tu nombre. Por ejemplo, un rol puede permitir a una instancia de EC2 leer datos de un bucket S3. **Roles para Usuarios:** Permiten a los usuarios de IAM asumir temporalmente permisos adicionales necesarios para una tarea espec√≠fica. **Roles para Federated Users:** Permiten a usuarios externos (como empleados de otra empresa) acceder a tu cuenta de AWS utilizando sus credenciales de inicio de sesi√≥n existentes.
# ¬ŅQu√© es un Role IAM? Un **Role IAM** es una entidad de IAM que define un conjunto de permisos para hacer solicitudes a los servicios de AWS. Los roles no est√°n asociados con un usuario espec√≠fico o un grupo, sino que pueden ser asumidos por cualquier entidad que necesite permisos temporales para ejecutar una tarea en particular. ## Componentes Clave de un Role IAM 1. **Trust Policy (Pol√≠tica de Confianza):** * Define qui√©n puede asumir el rol. Por ejemplo, puede ser un usuario, una aplicaci√≥n o un servicio de AWS como EC2 o Lambda. 2. **Permissions Policy (Pol√≠tica de Permisos):** * Especifica qu√© acciones se pueden realizar y en qu√© recursos cuando el rol es asumido. 3. **Session Duration (Duraci√≥n de la Sesi√≥n):** * Determina cu√°nto tiempo pueden durar las credenciales temporales otorgadas por el rol. ### Casos de Uso de Roles IAM 1. **Roles para Servicios de AWS:** * Permiten que los servicios de AWS (como EC2, Lambda, etc.) realicen acciones en tu nombre. Por ejemplo, un rol puede permitir a una instancia de EC2 leer datos de un bucket S3. 2. **Roles para Usuarios:** * Permiten a los usuarios de IAM asumir temporalmente permisos adicionales necesarios para una tarea espec√≠fica. 3. **Roles para Federated Users:** * Permiten a usuarios externos (como empleados de otra empresa) acceder a tu cuenta de AWS utilizando sus credenciales de inicio de sesi√≥n existentes.
### Resumen * **Grupos**: Utilizados para gestionar permisos de m√ļltiples usuarios simult√°neamente. * **Roles**: Proporcionan una manera de conceder permisos temporales a usuarios, aplicaciones o servicios, sin necesidad de asignar permisos directamente a entidades permanentes o compartir credenciales de seguridad.
El profe: Es una mala practica utilizar AWS CLI en los servicios de AWS como EC2. Yo: \*Configurando mi AWS CLI para hacer actualizaciones de mi plataforma web jajajj
Es muy válido lo mencionado. Entiendo que en casos donde no es posible asignar un rol a objetos expuestos entre diferentes cuentas AWS, la utilización de access keys y secrets key se vuelve necesaria. En estas situaciones, el manejo adecuado de keys es mediante el servicio de Secrets Manager que proporciona una capa adicional de seguridad, facilitando la prevención del acceso no autorizado a estas claves. Esto contribuye a evitar la exposición y obtención indebida de datos de secret key y access key de manera más efectiva.

Generalmente, los roles se asocian a servicios, no a usuarios. Los usuarios asumen un rol que est√° asociado a un servicio/recurso en AWS.
Por ejemplo, un usuario puede asumir un rol particular temporalmente para realizar una tarea específica en un momento determinado. Finalizada la tarea, abandona ese rol.

Muy bien explicado, frenet a que por buena practica no deberiamos asignar un secret key a las VM. (y)

Los roles de AWS Identity and Access Management (IAM) son una forma de acceso a AWS basada en credenciales de seguridad temporales. Cada rol cuenta con un conjunto de permisos para realizar solicitudes de servicios de AWS y los roles no están asociados a un usuario o grupo específico.