Herramientas AWS para control granular de accesos

Clase 27 de 36 • Curso Práctico de AWS Cloud

Contenido del curso

Introducción al cómputo en la nube

Introducción a la oferta de AWS y sus interacciones

Elastic Beanstalk

Bases de Datos

Redes

26
Route 53: DNS de AWS con cambios en segundos
04:59 min

Herramientas de administración

Seguridad

Bonus

Cierre del curso

36
Terminaste tu primer curso de Amazon: próximos pasos
01:13 min

Tomar examen

Resumen

Controla tu cuenta de AWS con precisión: define permisos granulares en IAM, observa el estado de tus recursos con CloudWatch y audita quién hizo qué con CloudTrail. Este enfoque permite detectar usos inesperados, mantener un archivo histórico de acciones y evitar permisos excesivos o fugas de información.

¿Cómo controlar accesos con IAM de forma granular?

Configura IAM para crear usuarios con permisos específicos según lo que necesiten. La idea central: dar acceso solo a lo necesario.

Usuarios enfocados a S3 con solo lectura cuando se requiere consultar objetos sin modificarlos.
Acceso a la consola limitado a Elastic Beanstalk u otros servicios puntuales.
Asignación de permisos por zonas o ámbitos de la cuenta, manteniendo control granular.
Preparación para el siguiente paso: entrar a la consola de IAM, crear un usuario y asignarle permisos adecuados.

¿Cómo monitorear recursos y actividades con CloudWatch y CloudTrail?

Combina CloudWatch y CloudTrail para obtener visibilidad completa: lo que sucede en tus recursos y quién ejecuta cada acción.

CloudWatch muestra qué pasa en todas las instancias y recursos de AWS.
Detección de eventos inusuales: por ejemplo, una instancia creada en la región Brasil cuando no sueles operar ahí.
Investigación guiada: revisar qué pasó, por qué y quién la creó.
CloudTrail registra actividades de usuarios y actividades programáticas.
Ejemplo clave: si Elastic Beanstalk crea una nueva instancia, CloudTrail lo deja asentado para su revisión.
Trazabilidad de accesos desde consola o mediante key de acceso.
Flexibilidad de registro: puedes guardar más o menos información para construir un histórico útil.

¿Por qué revisar permisos y uso de infraestructura de forma constante?

La vigilancia continua reduce riesgos y sostiene el orden operativo. El objetivo es confirmar que se usa solo lo pertinente y con el permiso correcto.

Prevenir fuga de información al limitar privilegios.
Verificar que los usuarios tengan solo los permisos necesarios.
Confirmar que tu infraestructura se usa como fue planeado.
Mantener un control perfecto de usuarios, recursos y acciones en la cuenta.

¿Quieres profundizar en la creación de usuarios y asignación de permisos en IAM? Comparte tus dudas y escenarios en los comentarios.

Mario Alexander Vargas Celis

student•

La Gestión de Usuarios y Recursos en Amazon AWS es esencial para administrar de forma segura quién tiene acceso a qué servicios y cómo se utilizan los recursos en la nube. Esta gestión gira principalmente en torno a AWS Identity and Access Management (IAM), pero también involucra herramientas como AWS Organizations, AWS Resource Groups y etiquetado (tagging) de recursos.

🧑‍💼 1. Gestión de Usuarios con IAM (Identity and Access Management)

✅ ¿Qué es IAM?

AWS IAM te permite crear y gestionar usuarios, grupos, roles y políticas para controlar el acceso a los recursos de AWS.

🧾 Elementos clave de IAM:

Usuarios: Identidades permanentes para personas u otros servicios.
Grupos: Colecciones de usuarios que comparten permisos.
Roles: Identidades temporales usadas por servicios o usuarios externos (como federación o acceso entre cuentas).
Políticas: JSONs que definen permisos (acciones, recursos y condiciones).

🛡️ Buenas prácticas de seguridad en IAM:

PrácticaDescripción🚫 No usar la cuenta raízSolo para tareas excepcionales. Protege con MFA.🔐 Activar MFAObligatorio para usuarios con permisos sensibles.📄 Usar políticas con privilegios mínimos“Menos es más” para evitar accesos indebidos.⏳ Usar roles temporalesEspecialmente en entornos productivos.🧪 Revisar permisos con IAM Access AnalyzerDetecta accesos no intencionales.

🗃️ 2. Gestión de Recursos con Etiquetas (Tags)

¿Qué son las etiquetas?

Son pares clave-valor que puedes asignar a casi cualquier recurso en AWS (EC2, S3, RDS, Lambda, etc.).

¿Para qué sirven?

Organización por proyecto, entorno, dueño, etc.
Filtrado y agrupación de recursos en la consola.
Control de costos (Cost Explorer puede agrupar por tags).
Aplicar políticas IAM basadas en tags.

{ "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*", "Condition": { "StringEquals": { "aws:RequestTag/project": "mi-app" } } }

🏢 3. Gestión de Cuentas con AWS Organizations

¿Qué es AWS Organizations?

Permite agrupar varias cuentas AWS bajo una jerarquía centralizada y aplicar políticas de control (SCPs).

Beneficios:

Control centralizado de facturación y acceso.
Separación por entornos (producción, desarrollo, testing).
Aplicación de políticas restrictivas a nivel de cuenta o unidad organizativa.
Consolidación de costos.

🧰 4. Resource Groups

Permiten agrupar recursos de distintos tipos (EC2, RDS, Lambda, etc.) bajo un mismo conjunto lógico, usualmente con tags comunes.

Filtra recursos fácilmente.
Aplica acciones sobre múltiples recursos.
Útil para administración a escala.

📊 5. Monitoreo y Auditoría

ServicioUsoCloudTrailAudita toda la actividad (quién hizo qué, cuándo y desde dónde).IAM Access AnalyzerRevisa quién puede acceder a tus recursos desde fuera de tu cuenta.ConfigHistoriza configuraciones de recursos y detecta cambios.CloudWatch LogsMonitorea y genera alertas sobre comportamiento del sistema.

🧠 Ejemplo de flujo para una empresa:

Se crean cuentas independientes para cada departamento con AWS Organizations.
En cada cuenta:
- Se crean grupos IAM como "developers", "ops", etc.
- Cada grupo tiene permisos limitados a sus recursos (por tags o por servicios).
- Se crean roles con MFA obligatorio para acciones administrativas.
Todos los recursos se etiquetan por proyecto, entorno y dueño.
Se usan SCPs para evitar creación de ciertos servicios fuera de política.
Se audita actividad con CloudTrail y se revisa mensualmente con Access Analyzer.

Jorge Roberto Morales Avila

Andrés Felipe Largo Rodríguez

Carlos Javier Bazan Huaman

Yesseit Gerardo Linares Avila

Sebastian Doza

Cesar Villegas

German Zaldívar

Carlos Eduardo Gomez García

teacher•

Javier Ramos

Ronald Rengifo

Rafael Carrillo

Lorenzo Enrique Piñango Cerezo

Angel Rojas Gerardo

Yahyr Enrique Paredes Arteaga

Erik Elyager

LUIS ARTURO ZARATE AYALA

ANDRES ALFONSO MIRA MEJIA

Jeisson Espinosa

Daniel Buitrago

Samir Jimenez Vivas

Usuario anónimo

user•

jesus gomez

Gonzalo Vazquez

Jair Israel Avilés Eusebio

Herramientas AWS para control granular de accesos

Introducción al cómputo en la nube

Qué hace AWS diferente al hosting tradicional

Crear cuenta de AWS paso a paso

Servicios AWS: qué es cada uno y cuándo usarlo

Introducción a la oferta de AWS y sus interacciones

Elastic Beanstalk: arquitectura escalable en AWS

EC2: conceptos clave y configuración básica

Crear instancia EC2 en AWS gratuita

Conectarse por SSH a instancias EC2 desde Windows

Conectar a instancia S2 desde Linux con SSH

Conectar Mac a instancia EC2 con Terminal

Proyecto Flask en EC2 con GitHub

Cómo desplegar Flask en AWS con puertos y dependencias

Qué es Lambda de Amazon y por qué es serverless

Función AWS Lambda en Python desde la consola

Elastic Beanstalk

AWS Elastic Beanstalk: escalado automático

Desplegar Flask en Elastic Beanstalk

S3 vs Glaciar: cómo elegir almacenamiento AWS

Cómo publicar un sitio estático en S3

Cuándo usar AWS Glacier para archivos históricos

Bases de Datos

Amazon RDS: prestaciones enterprise sin data center

RDS Postgres: optimizaciones y respaldos AWS

Crear una base de datos PostgreSQL en AWS RDS

Importar dump de Postgres en AWS RDS

Aurora PG: 3x más rápido que RDS Postgres

Creando Aurora PostgreSQL en AWS

Respaldos en RDS Postgres: cuándo y cómo

Redes

Route 53: DNS de AWS con cambios en segundos

Herramientas de administración