Crear usuarios IAM con acceso programático

Clase 28 de 36 • Curso Práctico de AWS Cloud

Resumen

Aprende a configurar AWS IAM para crear un usuario con acceso programático, asignar permisos a S3 y conectarte desde Cyberduck para subir archivos. Con pasos claros y recomendaciones prácticas, podrás dar acceso seguro a colaboradores sin exponer tu infraestructura.

Crea acceso programático en AWS IAM

Configurar un usuario IAM con acceso programático permite operar desde la línea de comandos o aplicaciones externas. Aquí se muestra cómo crear el usuario, agrupar permisos y proteger las credenciales.

¿Cómo crear un usuario IAM con acceso programático?

Entra a Seguridad, Identidad y Compliance y elige IAM.
Selecciona crear usuario y nómbralo, por ejemplo, “Platzi key”.
Marca acceso programático: funcionará desde la línea de comandos o un programa.
Revisa el resumen y crea el usuario.
Obtendrás una access key y un secret access key.

¿Qué políticas y grupos asignar para S3?

Crea un grupo, por ejemplo, “Platzi Grupo”.
Asigna una política con permisos sobre S3. Por ejemplo, permitir escritura.
Agrega el usuario al grupo para heredar permisos.
Verifica que el acceso programático quede activo.

¿Por qué descargar el CSV de credenciales?

Descarga el archivo CSV con la access key y el secret access key.
Si cierras la pantalla, el secreto no vuelve a mostrarse.
Guarda una copia segura: correo, USB u otro medio controlado.

Conecta S3 con Cyberduck y sube archivos

Con el usuario listo, puedes usar Cyberduck para acceder a S3 con tus llaves. El flujo es directo: instalar, configurar credenciales y transferir archivos.

¿Cómo configurar Cyberduck para S3 con access key y secret?

Descarga e instala Cyberduck para Windows o Mac.
Abre una nueva conexión y elige S3.
Ingresa tu access key y el password (usa el secret access key).
Marca la opción de guardar si lo necesitas.
El campo path es opcional; puedes omitirlo para ver todos los buckets.

¿Qué verás al conectarte a S3?

Al conectar, aparecerán tus recursos de S3.
Puedes entrar al bucket donde hospedas un sitio web estático.
Desde tu desktop, arrastra y suelta archivos para subirlos.
Verifica en la consola de S3 que el archivo se subió correctamente.

¿Para qué casos de uso sirve este acceso?

Dar acceso a un diseñador web para subir imágenes.
Compartir documentos de trabajo con tu equipo.
Crear una cuenta por persona para trazabilidad y control de permisos.

¿Te gustaría que en la siguiente entrega se profundice en métricas y monitoreo? Se mencionó que lo próximo será CloudWatch. Cuéntame en comentarios qué necesitas medir y automatizar.

Ricardo Mesa Gallego

student•

IAM

AWS Identity and Access Management (IAM) le permite administrar el acceso a los servicios y recursos de AWS de manera segura. Con IAM, puede crear y administrar usuarios y grupos de AWS, así como utilizar permisos para conceder o denegar el acceso de estos a los recursos de AWS.
Existen
- Usuarios
- Grupos: agrupaciones de usuarios.
- Roles: Similar a un usuario solo que no puede hacer lo mismo, es solamente una identidad que tiene una serie de permisos a ser utilizada desde un programa.
- Políticas: En estas se especifican los permisos.
  - Amazon Resource Name (ARN)
  - arn:aws:service:region:account:resource
Se definen los permisos explícitos de acceso a ciertos servicios.

Erick Moises Arteaga Vaca

student•

muchas gracias por el aporte!

Lorenzo Enrique Piñango Cerezo

student•

Muchas gracias por el aporte!

Gerardo Nava Pereda

student•

Duck CLI:

Terminal Linux-Ubuntu

Instalación

echo -e "deb https://s3.amazonaws.com/repo.deb.cyberduck.io stable main" | sudo tee /etc/apt/sources.list.d/cyberduck.list > /dev/null

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys FE7097963FEFBE72

sudo apt-get update

sudo apt-get install duck

duck --username <Access Key ID> --list s3:/

Posteriormente te pedirá que introduzcas el "Secret Access Key" y te preguntara si quieres guardar tus claves de acceso en ~/.duck/credentials.

Ver Objetos del Bucket

duck --username <Access Key ID> --list s3:/<bucketname>/

Más información

Cualquier sistema operativo:

duck --help

Cyberduck Help

David fernando Pinzon suarez

student•

Muchas gracias por tu aporte!!! a diferencia de el GUI para Windows, aca no es necesario decirle que vamos a usarlo con Amazon?

Angel Heredia

student•

Muchas por el aporte.

Juan Sebastian Piedrahita Gonzalez

student•

También es demasiado util la aws cli.

Juan David Cajamarca Acuña

student•

Es lo mejor.

LUIS ARTURO ZARATE AYALA

student•

concuerdo

Juan José González Vera

student•

Hay otra herramienta que me gusta más para esto: winscp

Darvin Orozco

student•

Gracias por el nombre, no lo había oído mencionar pero ahora ya tengo una herramienta más gracias al gran aporte de la comunidad platzi.

Carlos Javier Bazan Huaman

student•

Tambien puedes usar el MobaXterm,

Gerardo Nava Pereda

student•

Cyber Duck CLI Para Linux, Mac o Windows

REINALDO ORJUELA GODOY

student•

Con el pato no me pude conectar, se quedaba congelado, con Winscp de inmediato.

Darvin Orozco

student•

Interesante lo que te pasó con CyberDuck, ¿Será que fue por temas de salida de conexión en tu firewall? Saludos.

Stivenson Rincon Mora

student•

En linux realmente es mas sencillo usar el comando aws del cli. (Para la fecha de este comentario este cli va en la versión 2) luego ejecutas el comando aws configure y allí indicas el key y el secret.

Fuente: https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html

Y un cliente S3, para linux, puede ser este: **qts3browser: ** https://snapcraft.io/qts3browser

PD: Dicho cliente mucho mas bonito e intuitivo que las opciones que solo se ofrecen mas mac y windows.

Cristian Camilo Cortes Ortiz

student•

Hola comunidad! tengo una pregunta. si con AWS S3 puedo guardar los archivos de mi proyecto (imaganes). ¿puedo generar un enlace para que desde el código fuente de mi siito web pueda acceder a estos archivos guardados en AWS S3?

Eborio Antonio Linárez Torrealba

student•

Claro, cada archivo te genera un enlace y podrás mostrarlo siempre y cuando la visibilidad del archivo sea pública

Christian Alam Campos Lizarraga

student•

MobaXterm tambien cuenta con la conexion a AWS S3. ...

Rafael Pardo Rodriguez

student•

[cyber duck] Este es el link de la documentación para linux en Cyberduck

Alexander Grajales Vanegas

student•

ingreso y me sale este error

User: arn:aws:sts::xxx:assumed-role/vocstartsoft/userxxx=xxx@elpoli.edu.co is not authorized to perform: iam:ListAccountAliases on resource: *

estoy con una cuenta estudiantil.

Virgilio Padron Batun

student•

Es un error de la cuenta estudiantil, me ha pasado probando otros servicios y hasta ahora no se puede resolver, claro si te pasas a una cuenta de paga normal eso no te va a pasar

Ronald Rengifo

student•

Es mejor el Cybeduck que Filezilla?

Erik Elyager

student•

Yo prefiero Filezilla, lo he usado toda la vida y no he tenido problemas.

Anibal Fernando Ortega Piedrahita

student•

Filezilla me parece una herramienta simple, liviana y con un gran potencial.

softdynamic sac

student•

Cómo agrego un nuevo usuario con su respectivo .ppk, aparte del por defecto que se genera al crear una instancia.

Mario Alexander Vargas Celis

student•

La creación y configuración de usuarios IAM programáticos en AWS es fundamental cuando deseas que aplicaciones, scripts o herramientas externas accedan a tus servicios de AWS de manera segura, sin necesidad de iniciar sesión en la consola.

🔐 ¿Qué es un usuario IAM programático?

Un usuario IAM programático es un usuario que no necesita acceso a la consola web de AWS, sino que se autentica y opera mediante credenciales de acceso (Access Key ID y Secret Access Key) para utilizar servicios como S3, EC2, DynamoDB, etc., vía CLI, SDKs o APIs.

✅ Pasos para crear y configurar un usuario IAM programático

1. Accede a la consola de IAM

Ve a:

2. Crea un nuevo usuario IAM

Ir a Users (Usuarios) → clic en “Add user” (Agregar usuario)
Asigna un nombre (ej. app-user-s3)
Selecciona solo acceso programático (✔ Access key - Programmatic access)

3. Asignar permisos

Tienes tres opciones:

a. Adjuntar directamente políticas existentes

Selecciona una política como:

AmazonS3ReadOnlyAccess
AmazonDynamoDBFullAccess
O crea una política personalizada

b. Agregar al grupo con permisos

Si tienes un grupo predefinido (ej. developers-s3-access), agrégalo al grupo.

c. Crear política personalizada

Ejemplo para acceso limitado a un bucket S3:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:PutObject", "s3:GetObject"], "Resource": "arn:aws:s3:::mi-bucket/*" } ] }

4. Revisar y crear

Revisa la configuración
Haz clic en “Create user”

5. Guardar credenciales

Se mostrará:

Access Key ID
Secret Access Key

⚠️ Guárdalas de inmediato (descarga el .csv o copia manualmente). El Secret Access Key no se vuelve a mostrar.

6. Usar las credenciales programáticamente

a. Con AWS CLI:

aws configure

Introduce el Access Key ID, Secret Access Key, región y formato de salida.

b. Variables de entorno:

export AWS_ACCESS_KEY_ID=AKIAXXXXXXXXX export AWS_SECRET_ACCESS_KEY=abc123xxxxxxxx

c. En tu código (Python con boto3):

import boto3

s3 = boto3.client( 's3', aws_access_key_id='AKIAXXXXXX', aws_secret_access_key='abc123XXXXX' ) s3.list_buckets()

🛡️ Buenas prácticas de seguridad

PrácticaRecomendación🔐 Rotación de clavesCambia cada 90 días🧹 Elimina claves no usadasRevisa su uso en IAM🧾 Usa permisos mínimosEvita políticas *:*🔍 Monitorea con CloudTrailAudita el uso del usuario🤝 Considera usar rolesPara cargas en EC2, Lambda o EKS (más seguro)

ANDRES ALFONSO MIRA MEJIA

student•

✅

Jeisson Espinosa

student•

Información resumida de esta clase

#EstudiantesDePlatzi

Todo esto lo podemos configurar desde la terminal de comandos
Importante descargar el CSV donde se encuentran las llaves secretas

Javier Ramos

student•

Winscp se puede usar en reemplazo de Cyberduck

Johnny Enmanuel Pacheco Villarreal

student•

IAm es especialmente util a la hora de auditorias, el "¿Quien hizo que?" es muy importante.

Iam tambien nos permite tener usuarios para un proyecto en especifico, una scope

Pedro Iván Juárez Cornejo

student•

Gran explicación

Lorenzo Enrique Piñango Cerezo

student•

Excelente clase y ejercicio

Crear usuarios IAM con acceso programático

Introducción al cómputo en la nube

Qué hace AWS diferente al hosting tradicional

Crear cuenta de AWS paso a paso

Servicios AWS: qué es cada uno y cuándo usarlo

Introducción a la oferta de AWS y sus interacciones

Elastic Beanstalk: arquitectura escalable en AWS

EC2: conceptos clave y configuración básica

Crear instancia EC2 en AWS gratuita

Conectarse por SSH a instancias EC2 desde Windows

Conectar a instancia S2 desde Linux con SSH

Conectar Mac a instancia EC2 con Terminal

Proyecto Flask en EC2 con GitHub

Cómo desplegar Flask en AWS con puertos y dependencias

Qué es Lambda de Amazon y por qué es serverless

Función AWS Lambda en Python desde la consola

Elastic Beanstalk

AWS Elastic Beanstalk: escalado automático

Desplegar Flask en Elastic Beanstalk

S3 vs Glaciar: cómo elegir almacenamiento AWS

Cómo publicar un sitio estático en S3

Cuándo usar AWS Glacier para archivos históricos

Bases de Datos

Amazon RDS: prestaciones enterprise sin data center

RDS Postgres: optimizaciones y respaldos AWS

Crear una base de datos PostgreSQL en AWS RDS

Importar dump de Postgres en AWS RDS

Aurora PG: 3x más rápido que RDS Postgres

Creando Aurora PostgreSQL en AWS

Respaldos en RDS Postgres: cuándo y cómo

Redes

Route 53: DNS de AWS con cambios en segundos

Herramientas de administración

Herramientas AWS para control granular de accesos