Herramientas AWS para control granular de accesos

Clase 27 de 36 • Curso Práctico de AWS Cloud

Resumen

Controla tu cuenta de AWS con precisión: define permisos granulares en IAM, observa el estado de tus recursos con CloudWatch y audita quién hizo qué con CloudTrail. Este enfoque permite detectar usos inesperados, mantener un archivo histórico de acciones y evitar permisos excesivos o fugas de información.

¿Cómo controlar accesos con IAM de forma granular?

Configura IAM para crear usuarios con permisos específicos según lo que necesiten. La idea central: dar acceso solo a lo necesario.

Usuarios enfocados a S3 con solo lectura cuando se requiere consultar objetos sin modificarlos.
Acceso a la consola limitado a Elastic Beanstalk u otros servicios puntuales.
Asignación de permisos por zonas o ámbitos de la cuenta, manteniendo control granular.
Preparación para el siguiente paso: entrar a la consola de IAM, crear un usuario y asignarle permisos adecuados.

¿Cómo monitorear recursos y actividades con CloudWatch y CloudTrail?

Combina CloudWatch y CloudTrail para obtener visibilidad completa: lo que sucede en tus recursos y quién ejecuta cada acción.

CloudWatch muestra qué pasa en todas las instancias y recursos de AWS.
Detección de eventos inusuales: por ejemplo, una instancia creada en la región Brasil cuando no sueles operar ahí.
Investigación guiada: revisar qué pasó, por qué y quién la creó.
CloudTrail registra actividades de usuarios y actividades programáticas.
Ejemplo clave: si Elastic Beanstalk crea una nueva instancia, CloudTrail lo deja asentado para su revisión.
Trazabilidad de accesos desde consola o mediante key de acceso.
Flexibilidad de registro: puedes guardar más o menos información para construir un histórico útil.

¿Por qué revisar permisos y uso de infraestructura de forma constante?

La vigilancia continua reduce riesgos y sostiene el orden operativo. El objetivo es confirmar que se usa solo lo pertinente y con el permiso correcto.

Prevenir fuga de información al limitar privilegios.
Verificar que los usuarios tengan solo los permisos necesarios.
Confirmar que tu infraestructura se usa como fue planeado.
Mantener un control perfecto de usuarios, recursos y acciones en la cuenta.

¿Quieres profundizar en la creación de usuarios y asignación de permisos en IAM? Comparte tus dudas y escenarios en los comentarios.

Jorge Roberto Morales Avila

student•

Me parece interesante para el tema de asignar responsabilidades y roles dentro de la gestión de servicios, y seguimiento de cambios.

Andrés Felipe Largo Rodríguez

student•

Es muy importante.

Carlos Javier Bazan Huaman

student•

las actividades a las que se hacen seguimiento son el fuerte de esta herramienta que de paso es muy importante para este tipo de servicios.

Yesseit Gerardo Linares Avila

student•

Usuarios: Crear usuarios individuales. Grupos: Administre permisos con grupos. Permisos: Otorgue privilegios mínimos. Auditoría: Active AWS CloudTrail. Contraseña: Configure una política de contraseñas sólida. MFA: Habilite MFA para usuarios con privilegios. Roles: Use roles de IAM para instancias de Amazon EC2. Uso compartido: Use roles de IAM para un acceso compartido. Rotación – Rotación de las credenciales de seguridad con regularidad. Condiciones – Restringir aún más el acceso privilegiado con condiciones. Raíz: Reduzca o elimine el uso de la raíz.

Sebastian Doza

student•

Buenas noches,

Una consulta estimados , es posible en AWS crear un acceso para dar que un usuario acceda al servidor y solo pueda acceder a ciertas cosas, o en su caso con el Cloudtrailq me indique que hizo el usuario dentro de mi servidor

Cesar Villegas

student•

Si, básicamente el fuerte de IAM es ese, crear usuarios y delegar funciones y poder chequear todo con CloudTrail

German Zaldívar

student•

Con IAM puedes crear políticas que permitan a un usuario o los que desees realizar solamente lo que quieres.

Carlos Eduardo Gomez García

teacher•

Hasta ahora solo conozco IAM porque lo he usado para conectar mis aplicaciones a S3. Pero me parece genial lo de CloudWatch y ClodTrail, básicamente es como que puedes tener todo un equipo de trabajo y el administrador puede crear los usuarios IAM para que cada uno use el servicio que tiene que usar 🤔

Javier Ramos

student•

IAM : Adminstra usuarios, permisos y maquinas
CloudWatch: Muestra los logs de la información
Cloud Trail :Auditoria (quien hizo que )

Ronald Rengifo

student•

Genial!

Rafael Carrillo

student•

excelente

Lorenzo Enrique Piñango Cerezo

student•

Con IAM se puede administrar el acceso a los servicios y recursos de AWS de manera segura. Además, puede crear y administrar usuarios y grupos de AWS, así como utilizar permisos para conceder o negar el acceso de estos a los recursos de AWS.

Angel Rojas Gerardo

student•

Hola comiunidad alguien le ha salido esto: You don't have permission to delete bucket "elasticbeanstalk-us-east-1-585040274660" After you or your AWS admin have updated your IAM permissions to allow s3:DeleteBucket, choose delete bucket. Learn more about Identity and Access Management in Amazon S3

If you have s3:DeleteBucket permissions in your IAM user policy and you cannot delete a bucket, the bucket policy might include a deny statement for s3:DeleteBucket. Before you can delete the bucket, you must delete the deny s3:DeleteBucket statement or delete the bucket policy.

Yahyr Enrique Paredes Arteaga

student•

¿De que manera podria gestionar el uso de AWS para dos empresas con diferente personal?. Suelo usar los servicios de aws pero no tuve que compartir con nadie mas los accesos, pero ahora tengo que gestionar que los demas gestionen los proyectos :v . Como lo manejarian ustedes.

Erik Elyager

student•

No me ha tocado ese caso pero tal vez está situación planteada en la documentación oficial te sirva para dar accesos a externos.

LUIS ARTURO ZARATE AYALA

student•

Pensaría que lo que tienes que hacer es gestionar el tema de permisos roles y grupos con IAM y vincular a los usuarios de las 2 empresas en 2 grupos con diferentes niveles de acceso, para que llos solo puedan ver los recursos de cada empresa

Mario Alexander Vargas Celis

student•

La Gestión de Usuarios y Recursos en Amazon AWS es esencial para administrar de forma segura quién tiene acceso a qué servicios y cómo se utilizan los recursos en la nube. Esta gestión gira principalmente en torno a AWS Identity and Access Management (IAM), pero también involucra herramientas como AWS Organizations, AWS Resource Groups y etiquetado (tagging) de recursos.

🧑‍💼 1. Gestión de Usuarios con IAM (Identity and Access Management)

✅ ¿Qué es IAM?

AWS IAM te permite crear y gestionar usuarios, grupos, roles y políticas para controlar el acceso a los recursos de AWS.

🧾 Elementos clave de IAM:

Usuarios: Identidades permanentes para personas u otros servicios.
Grupos: Colecciones de usuarios que comparten permisos.
Roles: Identidades temporales usadas por servicios o usuarios externos (como federación o acceso entre cuentas).
Políticas: JSONs que definen permisos (acciones, recursos y condiciones).

🛡️ Buenas prácticas de seguridad en IAM:

PrácticaDescripción🚫 No usar la cuenta raízSolo para tareas excepcionales. Protege con MFA.🔐 Activar MFAObligatorio para usuarios con permisos sensibles.📄 Usar políticas con privilegios mínimos“Menos es más” para evitar accesos indebidos.⏳ Usar roles temporalesEspecialmente en entornos productivos.🧪 Revisar permisos con IAM Access AnalyzerDetecta accesos no intencionales.

🗃️ 2. Gestión de Recursos con Etiquetas (Tags)

¿Qué son las etiquetas?

Son pares clave-valor que puedes asignar a casi cualquier recurso en AWS (EC2, S3, RDS, Lambda, etc.).

¿Para qué sirven?

Organización por proyecto, entorno, dueño, etc.
Filtrado y agrupación de recursos en la consola.
Control de costos (Cost Explorer puede agrupar por tags).
Aplicar políticas IAM basadas en tags.

{ "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*", "Condition": { "StringEquals": { "aws:RequestTag/project": "mi-app" } } }

🏢 3. Gestión de Cuentas con AWS Organizations

¿Qué es AWS Organizations?

Permite agrupar varias cuentas AWS bajo una jerarquía centralizada y aplicar políticas de control (SCPs).

Beneficios:

Control centralizado de facturación y acceso.
Separación por entornos (producción, desarrollo, testing).
Aplicación de políticas restrictivas a nivel de cuenta o unidad organizativa.
Consolidación de costos.

🧰 4. Resource Groups

Permiten agrupar recursos de distintos tipos (EC2, RDS, Lambda, etc.) bajo un mismo conjunto lógico, usualmente con tags comunes.

Filtra recursos fácilmente.
Aplica acciones sobre múltiples recursos.
Útil para administración a escala.

📊 5. Monitoreo y Auditoría

ServicioUsoCloudTrailAudita toda la actividad (quién hizo qué, cuándo y desde dónde).IAM Access AnalyzerRevisa quién puede acceder a tus recursos desde fuera de tu cuenta.ConfigHistoriza configuraciones de recursos y detecta cambios.CloudWatch LogsMonitorea y genera alertas sobre comportamiento del sistema.

🧠 Ejemplo de flujo para una empresa:

Se crean cuentas independientes para cada departamento con AWS Organizations.
En cada cuenta:
- Se crean grupos IAM como "developers", "ops", etc.
- Cada grupo tiene permisos limitados a sus recursos (por tags o por servicios).
- Se crean roles con MFA obligatorio para acciones administrativas.
Todos los recursos se etiquetan por proyecto, entorno y dueño.
Se usan SCPs para evitar creación de ciertos servicios fuera de política.
Se audita actividad con CloudTrail y se revisa mensualmente con Access Analyzer.

ANDRES ALFONSO MIRA MEJIA

student•

✅

Jeisson Espinosa

student•

Información resumida de esta clase

#EstudiantesDePlatzi

IAM es le servicio que nos permite administrar usuarios, permisos y así gestionar el equipo
Con Cloudwatch puedo ver rápidamente lo que sucede dentro de mi estructura con los servicios que estoy usando
Estos servicios me permiten tener un control granular y completo

Daniel Buitrago

student•

Wow es increíble todo el potencial que tiene Amazon Web Services con estas herramientas de control de identidades y administración de perfiles.

Samir Jimenez Vivas

student•

Básicamente IAM es asignarle derechos o roles a tus usuarios, CloudWatch y CloudTrail te dicen quien hizo que.

Usuario anónimo

user•

Excelente :)

jesus gomez

student•

Cloudtrail es una herramienta de auditoria que permite ver quién o qué hizo que actividad en tu cuenta de AWS

Gonzalo Vazquez

student•

Buenas, estoy usando amazon comprehend topic modeling para analizar textos, con esta funcion startTopicsDetectionJob intento que los lea, ya copie el DataAccessRoleArn en el codigo puse las rutas input y output de S3 pero me sale este error en laravel

(2/2) ComprehendException Error executing "StartTopicsDetectionJob" on "https://comprehend.us-east-1.amazonaws.com"; AWS HTTP error: Client error: POST https://comprehend.us-east-1.amazonaws.com resulted in a 400 Bad Request response: {"__type":"AccessDeniedException","Message":"Cross-account pass role is not allowed."} AccessDeniedException (client): Cross-account pass role is not allowed. - {"__type":"AccessDeniedException","Message":"Cross-account pass role is not allowed."}```

Jair Israel Avilés Eusebio

student•

Verifica las configuraciones del servicio que usas o los permisos de la cuenta asociada ya que por el mensaje de error retornado, al parecer necesitar habilitar alguna opcion adicional para realizar operaciones con multiples cuentas.

Usuario anónimo

user•

Esto lo aprendí en Next U pero aquí lo estoy perfeccionando

Usuario anónimo

user•

Existen muchas herramientas de administración en AWS muy útiles, las siguientes tres son las más importantes:

IAM te permite administrar todos los permisos de acceso de usuarios y máquinas sobre máquinas.

CloudWatch te mostrará diversos eventos relacionados con tu infraestructura o servidores, para tener un lugar centralizado de logs e información.

Cloudtrail es una herramienta de auditoria que permite ver quién o qué hizo que actividad en tu cuenta de AWS.

Herramientas AWS para control granular de accesos

Introducción al cómputo en la nube

Qué hace AWS diferente al hosting tradicional

Crear cuenta de AWS paso a paso

Servicios AWS: qué es cada uno y cuándo usarlo

Introducción a la oferta de AWS y sus interacciones

Elastic Beanstalk: arquitectura escalable en AWS

EC2: conceptos clave y configuración básica

Crear instancia EC2 en AWS gratuita

Conectarse por SSH a instancias EC2 desde Windows

Conectar a instancia S2 desde Linux con SSH

Conectar Mac a instancia EC2 con Terminal

Proyecto Flask en EC2 con GitHub

Cómo desplegar Flask en AWS con puertos y dependencias

Qué es Lambda de Amazon y por qué es serverless

Función AWS Lambda en Python desde la consola

Elastic Beanstalk

AWS Elastic Beanstalk: escalado automático

Desplegar Flask en Elastic Beanstalk

S3 vs Glaciar: cómo elegir almacenamiento AWS

Cómo publicar un sitio estático en S3

Cuándo usar AWS Glacier para archivos históricos

Bases de Datos

Amazon RDS: prestaciones enterprise sin data center

RDS Postgres: optimizaciones y respaldos AWS

Crear una base de datos PostgreSQL en AWS RDS

Importar dump de Postgres en AWS RDS

Aurora PG: 3x más rápido que RDS Postgres

Creando Aurora PostgreSQL en AWS

Respaldos en RDS Postgres: cuándo y cómo

Redes

Route 53: DNS de AWS con cambios en segundos

Herramientas de administración