Gestión de Identidad y Acceso en AWS (IAM)

Clase 9 de 15 • Curso de Introducción a AWS: Fundamentos de Cloud Computing

Contenido del curso

Presentación del curso: requisitos y objetivos

1
Fundamentos de Cloud Computing en AWS
00:57 min

Introducción al Cloud Computing

Introduccion a AWS

Roles, seguridad e identidad

Bonus: sesiones en vivo

14
Creación de Páginas Web en AWS para Principiantes
73:37 min

Próximos pasos

15
Fundamentos de Cloud Computing con AWS
00:39 min

Tomar examen

Resumen

Controlar quién accede a cada recurso dentro de una cuenta de AWS es una de las tareas más críticas en la nube. Identity and Access Management (IAM) es el servicio gratuito incluido en todas las cuentas de AWS que permite administrar usuarios, grupos, roles y políticas para otorgar o denegar acceso de forma granular. Comprender sus componentes principales es el primer paso para construir una infraestructura segura.

¿Qué es IAM y por qué es esencial en AWS?

IAM es el servicio que responde a dos preguntas fundamentales: quién puede acceder y a qué recurso puede acceder dentro de una cuenta de AWS [0:16]. Está disponible sin costo adicional y viene integrado en cada cuenta. Gracias a IAM es posible crear usuarios individuales, agruparlos y asignar permisos específicos mediante políticas, todo desde una consola centralizada.

Cuando se crea una cuenta de AWS se genera automáticamente un usuario root [1:07]. Este usuario tiene privilegios totales sobre todos los recursos y es el encargado de crear las demás identidades: desarrolladores, personal de ventas, testers, ingenieros de versiones, entre otros.

¿Cómo se organizan los usuarios y los grupos?

Imagina una empresa con diez desarrolladores, cinco vendedores, dos probadores y un ingeniero de versiones [1:27]. Cada equipo necesita un nivel de acceso distinto:

Los desarrolladores requieren acceso a los servidores de desarrollo.
El equipo de ventas necesita consultar informes almacenados en el servicio de almacenamiento S3.
Los testers deben llegar tanto a servidores de desarrollo como a servidores de pruebas.
El ingeniero de versiones necesita acceso completo a todos los recursos.

En lugar de configurar permisos usuario por usuario, IAM permite crear grupos [2:22]. Al agregar un desarrollador al grupo "Desarrollo", este hereda automáticamente los permisos del grupo. Si llega un nuevo integrante al equipo, basta con añadirlo al grupo correspondiente.

¿Cómo funcionan las políticas en IAM?

Las políticas son documentos en formato JSON que definen qué acciones están permitidas o denegadas sobre recursos específicos [2:40]. Se crean y editan desde la consola de IAM, tanto de forma visual como directamente en JSON.

Un ejemplo práctico: una política que permite a un usuario almacenar archivos en un bucket de S3 contiene tres elementos clave [3:08]:

ListBucket: permite visualizar el contenido del bucket.
PutObject / GetObject: permite subir o descargar objetos dentro del bucket.
Un recurso con la ruta del bucket seguida de /*, que indica acceso a todo el contenido interior.

Estas políticas pueden aplicarse a un usuario individual o a un grupo completo, y su complejidad crece conforme lo exige la arquitectura.

¿Qué diferencia a los roles de los usuarios en IAM?

Los roles funcionan de manera similar a las políticas de usuario, pero con una diferencia fundamental: no solo los usuarios pueden asumir un rol, también los servicios de AWS [3:48]. Este concepto es vital para la seguridad entre servicios.

¿Cuándo se utiliza un rol en la práctica?

Consideremos un caso real [4:16]: una máquina virtual aloja un sitio web que necesita conectarse a una base de datos gestionada por AWS. En lugar de almacenar credenciales en la máquina virtual, se crea un rol con permisos de acceso a la base de datos y se asigna a la máquina virtual. Así, solo esa instancia puede comunicarse con la base de datos.

Esta estrategia añade una capa extra de seguridad [4:46] por encima del uso tradicional de nombre de usuario, contraseña o firewall. En esencia:

Un usuario representa a una persona.
Un rol puede ser asumido tanto por personas como por servicios.
Los roles permiten delegar acceso temporal sin compartir credenciales permanentes.

A medida que la infraestructura crece, los roles se vuelven más complejos y poderosos, convirtiéndose en una pieza central de la arquitectura de seguridad dentro de AWS [5:07].

Si te interesa profundizar en cómo proteger información sensible, el siguiente paso natural es explorar AWS Secrets Manager y su integración con IAM. ¿Qué escenario de permisos te resulta más desafiante? Comparte tu experiencia en los comentarios.

Comentarios

Marisol Cardozo

student•

Un bucket es donde se almacenan los archivos en S3

Carlos Mario

student•

Falto ese gran detalle en la clase, Muchas gracias por tu aporte

Franko Angel Diaz Flores

student•

pense que se referia al bucket de KFC...ya me dio hambre

Fabian Gutiérrez

student•

Como feedback al profesor, deberia de intentar hacer mas interactiva la clase, lo que estoy viendo es unicamente como alguien lee diapositivas,

Mario Hidalgo

student•

agree!

Clayton Jhordan Iliquin Zavaleta

student•

Ya que estamos creando una cuenta de AWS, está bien que nos enseña cómo crear políticas para los grupos en forma más completa.

Gilberto Pérez Garrido

student•

IAM

Nos ayuda a administrar quién puede acceder a qué en los servicios y recursos de tu cuenta en AWS
Puedes crear usuarios y grupos
Establecer permisos permitir o denegar el acceso a los recursos de AWS mediante el uso de políticas

Rolando Mamani Salas

student•

muchas gracias por el aporte

Vladimir Marcos Vega

student•

gracias Bro !!!

Jesús Ignacio García Fernández

student•

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:53 ::: bucket-name"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3: GetObject",
                "s3: PutObject",
            ],
            "Resource": "arn:aws:53 ::: bucket-name /*"
        }
    ]
}

Daniel Benites Izquierdo

student•

Los usuarios de Linux: daaa eso ya existe!!! :P

Sergio Estrella

teacher•

Políticas IAM

Estructura del Statement

Effect: Allow (Permitir) o Deny (Denegar)
Action: A qué servicios de AWS se aplica esta política (Permite usar la wildcard "*" que significa aplicar a todos)
Resource: Identificador de dónde está almacenado el servicio al que se le aplicará la política (Permite usar la wildcard "*" que significa aplicar a todos)

juan CORSI

student•

iam

nos ayuda a administrar quien puede acceder a que en los servicios y recursos de tu cuenta en aws

*puedes crear usuarios y grupos

*establecer permisos para permitir o denegar el acceso a los recursos de aws mediante el uso de politicas

Adriana Gómez Hinojosa

student•

Concuerdo con varios de los comentarios. El contenido del curso es bueno sin embargo el profesor no explica absolutamente nada, solo lee. Este realmente es un curso muy deficiente para ser de Platzi.

Edward John Rodriguez Soto

student•

José María C. L.

student•

📝 Notas

IAM (Identity and Access Management)

Servicio que ayuda a administrar

quién puede acceder
a qué servicios puede acceder
y qué acciones puede realizar en cada servicio

Lo logra a través de

creación de usuarios
creación de grupos
establecer permisos o denegar accesos a recursos mediante políticas

Es gratuito y está incuido en todas las cuentas de AWS

Recordar el principio de Least Privilege en el que se establece que cada usuario debe tener acceso solo a los servicios, recursos y acciones estrctamente necesarios.

El usuario root tendrá que crear a los usuarios y roles necesarios, darles accesos y privilegios apropiados (a través de Políticas) de acuerdo a las actividades que van a desempeñar.

Es posible crear Grupos para agregar varios usuarios a estos y poder aplicar las políticas más fácilmente a un conjunto de usuarios.

Principales elementos

Usuarios

Usuario Root: es el usuario principal asignado a nosotros cuando creamos la cuenta. Tiene acceso a todos los recursos y acciones de la cuenta. Y puede crear más usuarios y roles

Policies

Conjunto de reglas que se aplican a usuarios individuales o en grupo, o a roles individuales.
Se editan en la consola (portal web) de AWS
Son documentos JSON que se pueden editar visualmente
Puden volverse muy complejas

Ejemplo 1 de una policy IAM para un usuario que debe tener acceso a todo del servidor de desarrollo:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": "*",
			"Resource": "*"
		}
	]
}

Ejemplo 2 de una policy de IAM para acceder a un Bucket S3 (servicio de almacenamiento de archivos)

{
	"Version": "2012-10-17", <- versión del documento de la policy
	"Statement": [ <- Conjunto de reglas
		{ ----- Primera regla
			"Effect": "Allow", <- Permitir o denegar. Esta Permite
			"Action": [
				"s3:ListBucket" <- Qué tipo de acción se permite o deniega
			],
			"Resource": "arn:aws:s3:::bucket-name" <- Nombre del servicio al que se aplica el statement (se encuentra en la consola/panel web)
		},
		{ ------ Segunda regla
			"Effect": "Allow", <- Permitir o denegar. Esta Permite
			"Action": [
				"s3:GetObject",
				"s3:PutObject",
			],
			"Resource": "arn:aws:s3:::bucket-name/*" <- con el * al final se refiere a que el statement se aplica a todos los objetos dentro del bucket
		}
	]
}
```Roles

Funcionan de manera similar a las políticas. Permiten administrar accesos para usuarios o servicios.

Son una herramienta flexible y segura para otorgar permisos temporales a diferentes entidades sin necesidad de compartir credenciales permanentes.

También son una capa extra de seguridad porque no es solo un usuario y contraseña.

**Sin credenciales fijas**: A diferencia de los usuarios de IAM, los roles no tienen credenciales permanentes (como contraseñas o claves de acceso)

**Asunción de roles**: Los roles son diseñados para ser "asumidos". Esto significa que una entidad (un usuario, una aplicación, un servicio) puede temporalmente tomar los permisos de un rol cuando necesite realizar ciertas acciones. La entidad asume el rol usando el servicio **AWS Security Token Service (STS)**

**Delegación de permisos**: Los roles permiten delegar permisos a:

* **Usuarios** dentro de la misma cuenta de AWS o en otra cuenta.
* **Servicios de AWS** que necesitan permisos para interactuar con otros servicios de AWS en tu nombre, como un rol para EC2 que le permite acceder a S3.
* **Aplicaciones o sistemas externos** que necesitan permisos para interactuar con los recursos de AWS sin compartir claves de acceso o contraseñas.

**Políticas adjuntas**: Los roles pueden tener políticas adjuntas (similares a los usuarios de IAM) que definen qué acciones puede realizar el rol y sobre qué recursos. Cuando una entidad asume un rol, obtiene temporalmente esos permisos.

![](https://static.platzi.com/media/user_upload/image-9e35349f-3cf2-42d7-b067-b42d72c38c8b.jpg)

Oier Solabarrieta Egues

student•

Siendo sincero, me está costando seguir el curso. Más que leer de las diapositivas, me gustaría ver más al profesor Alexis hablando desde sus propios conocimientos, ya que estoy seguro de que posee un gran abanico. Creo que esto mejoraría sustancialmente las clases.

Antonio Arana

student•

DIFERENCIA ENTRE USUARIO Y ROL de IAM en aws: Un rol de IAM es similar a un usuario de IAM, ya que es una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Sin embargo, en lugar de asociarse únicamente con una persona, se pretende que un rol sea asumido por cualquier persona que lo necesite. Además, un rol no tiene credenciales estándar a largo plazo, como una contraseña o claves de acceso asociadas. En cambio, cuando asume un rol, le proporciona credenciales de seguridad temporales para su sesión de rol.

Santiago Marulanda Molina

student•

Team Platzi la última pregunta del exámenes está mala:

La pregunta es:

IAM es gratuito y está incluido en todas las cuentas de AWS?

Verdadero Falso

Si seleccionas verdadero la respuesta se marca como incorrecta, pero en el video seleccionas explica exactamente en el segundo 41. 🤨

Mario Alexander Vargas Celis

student•

IAM (Identity and Access Management) en AWS es el servicio que permite gestionar identidades y permisos dentro de AWS. Aquí tienes una ilustración conceptual de cómo funciona IAM:

🔹 Componentes Clave de IAM

Usuarios 👤 → Representan personas o aplicaciones con acceso a AWS.
Grupos 👥 → Conjunto de usuarios con permisos comunes.
Roles 🎭 → Permiten a servicios o cuentas asumir permisos temporales.
Políticas 📜 → Documentos JSON que definen permisos (ej., acceso a S3, EC2, RDS).

🔹 Esquema de Funcionamiento de IAM

📌 Ejemplo práctico:

Un usuario llamado Mario necesita acceso a un bucket S3.
Se le asigna una política que permite s3:ListBucket y s3:GetObject.
Si otro usuario, Ana, necesita lo mismo, en lugar de asignar permisos individuales, se coloca a Mario y Ana en un grupo con la política adecuada.

🔹 Representación Gráfica de IAM

[ Usuario: Mario ] --> [ Grupo: Desarrolladores ] --> [ Política: Acceso a S3 ] [ Usuario: Ana ] ----^

✔ Beneficio: Administración centralizada, menos errores, más seguridad.

🔹 Buenas Prácticas de IAM

✅ Usar el principio de menor privilegio. ✅ Habilitar MFA (Autenticación Multifactor) para usuarios críticos. ✅ Usar roles IAM en lugar de credenciales estáticas para aplicaciones.

REYNALDO FABIAN NORIEGA ZAMBRANO

student•

No estoy seguro de si mas adelante las clases muestran cosas practicas pero por ahora la dinamica es solo explicar diapositivas y parte de la informacion esta incompleta. :)

Manuel Galindo

student•

AWS Identity and Access Management (IAM) es un servicio web que te permite controlar de forma segura el acceso a los recursos de AWS. Con IAM, puedes crear y administrar usuarios y grupos, y asignar permisos específicos para acceder a los recursos de AWS

Ivan Camilo Buitrago Buitrago

student•

IAM funciona mediante la creación de usuarios, grupos y políticas de acceso. Los usuarios son las entidades que interactúan con los recursos de AWS, y pueden ser personas o aplicaciones. Los grupos son conjuntos de usuarios que comparten las mismas políticas de acceso. Las políticas son documentos de texto plano que especifican qué acciones pueden realizar los usuarios o grupos en qué recursos de AWS.

Para dar acceso a un recurso, se asigna una política a un usuario o grupo. Esta política puede permitir o denegar acceso a ciertas acciones en un recurso específico.

Además, IAM también proporciona un mecanismo de autenticación para asegurar que solo los usuarios autorizados puedan interactuar con los recursos de AWS. Por ejemplo, se puede utilizar la autenticación de contraseñas o la autenticación basada en tokens (por ejemplo, OAuth) para asegurar que solo los usuarios legítimos puedan obtener acceso a los recursos de AWS.

En resumen, IAM es un servicio de AWS que permite a los administradores controlar quién tiene acceso a los recursos de AWS, y qué acciones pueden realizar en ellos. Utilizando usuarios, grupos y políticas de acceso, se puede crear una estrategia de seguridad robusta para proteger los recursos de AWS.

Luis Alberto Luisjuan Guerrero

student•

Un bucket en Amazon S3 (Simple Storage Service) es un contenedor de objetos, donde los objetos son los archivos que almacenamos en la nube. Un bucket de S3 tiene un nombre globalmente único, lo que significa que no puede haber dos buckets con el mismo nombre en todo S3. Los objetos en un bucket de S3 pueden ser públicos o privados, y se puede configurar diferentes permisos de acceso a los objetos. Los buckets de S3 se pueden utilizar para almacenar y distribuir contenido estático como imágenes, videos, archivos de audio, páginas web, entre otros.

Ariel Jacob

student•

Muy bueno lo de los IAM Roles! Además de expandir las funcionalidades de permisos, abre un abanico de vulnerabilidades interesantes para auditar desde el punto de vista del ethical hacking. Ej: Permitir todos los "principals" al asumir un rol. Un "principal", una entidad principal del servicio, es un identificador de un servicio. La vulnerabilidad: las políticas de confianza del rol de IAM permiten que todos los "principals" asuman el rol.

Por qué es peligroso: Permitir que cualquier usuario de IAM de cualquier cuenta de AWS asuma un rol en SU cuenta les otorga a ellos acceso a todos los permisos en ese rol de IAM, lo que podría ser catastrófico y conducir a un escalamiento de privilegios, exfiltración de datos y demás. Se debe asegurar que las políticas de confianza de los roles no contengan todos los siguientes elementos:

Effect: “Allow”
Principal: "*"
Accion: “sts:AssumeRole”

Cómo solucionarlo: reemplazar el comodín con un principal específico.

Aquí vemos un ejemplo de cómo se puede solicitar el permiso del rol para un principal arbitrario root:

Fuentes: https://www.praetorian.com/blog/aws-iam-assume-role-vulnerabilities/ https://docs.fugue.co/FG_R00219.html https://www.fugue.co/blog/6-big-aws-iam-vulnerabilities-and-how-to-avoid-them https://www.velotio.com/engineering-blog/hacking-your-way-around-aws-iam-roles

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Jeisson Espinosa

student•

Información resumida de esta clase #EstudiantesDePlatzi

IAM: Identity access Management
IAM: Es un servicio para administrar quien puede acceder a que en los servicios y recursos de nuestra cuenta AWS
Allí podemos crear usuarios y grupos
Dentro de usuarios IAM existen varios usuarios y roles
El usuario raíz es la cuenta principal que tendrá acceso a todos los servicios de AWS
Podemos crear grupos para asignar permisos
Es importante aprender a crear políticas en archivos j.son
Un servicio puede asumir un rol

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:53 ::: bucket-name"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3: GetObject",
                "s3: PutObject",
            ],
            "Resource": "arn:aws:53 ::: bucket-name /*"
        }
    ]
}

{
	"Version": "2012-10-17", <- versión del documento de la policy
	"Statement": [ <- Conjunto de reglas
		{ ----- Primera regla
			"Effect": "Allow", <- Permitir o denegar. Esta Permite
			"Action": [
				"s3:ListBucket" <- Qué tipo de acción se permite o deniega
			],
			"Resource": "arn:aws:s3:::bucket-name" <- Nombre del servicio al que se aplica el statement (se encuentra en la consola/panel web)
		},
		{ ------ Segunda regla
			"Effect": "Allow", <- Permitir o denegar. Esta Permite
			"Action": [
				"s3:GetObject",
				"s3:PutObject",
			],
			"Resource": "arn:aws:s3:::bucket-name/*" <- con el * al final se refiere a que el statement se aplica a todos los objetos dentro del bucket
		}
	]
}
```Roles

Funcionan de manera similar a las políticas. Permiten administrar accesos para usuarios o servicios.

Son una herramienta flexible y segura para otorgar permisos temporales a diferentes entidades sin necesidad de compartir credenciales permanentes.

También son una capa extra de seguridad porque no es solo un usuario y contraseña.

**Sin credenciales fijas**: A diferencia de los usuarios de IAM, los roles no tienen credenciales permanentes (como contraseñas o claves de acceso)

**Asunción de roles**: Los roles son diseñados para ser "asumidos". Esto significa que una entidad (un usuario, una aplicación, un servicio) puede temporalmente tomar los permisos de un rol cuando necesite realizar ciertas acciones. La entidad asume el rol usando el servicio **AWS Security Token Service (STS)**

**Delegación de permisos**: Los roles permiten delegar permisos a:

* **Usuarios** dentro de la misma cuenta de AWS o en otra cuenta.
* **Servicios de AWS** que necesitan permisos para interactuar con otros servicios de AWS en tu nombre, como un rol para EC2 que le permite acceder a S3.
* **Aplicaciones o sistemas externos** que necesitan permisos para interactuar con los recursos de AWS sin compartir claves de acceso o contraseñas.

**Políticas adjuntas**: Los roles pueden tener políticas adjuntas (similares a los usuarios de IAM) que definen qué acciones puede realizar el rol y sobre qué recursos. Cuando una entidad asume un rol, obtiene temporalmente esos permisos.

![](https://static.platzi.com/media/user_upload/image-9e35349f-3cf2-42d7-b067-b42d72c38c8b.jpg)

Gestión de Identidad y Acceso en AWS (IAM)

Presentación del curso: requisitos y objetivos

Fundamentos de Cloud Computing en AWS

Introducción al Cloud Computing

Fundamentos de Infraestructura IT Tradicional y Redes Básicas

Introducción a la Computación en la Nube y sus Ventajas

Tipos de Cómputo en la Nube: IaaS, PaaS y SaaS

Introduccion a AWS

Escalabilidad y gestión de tráfico en AWS

Regiones y Zonas de Disponibilidad en AWS

Creación de una cuenta en AWS paso a paso

Roles, seguridad e identidad

Seguridad de Identidad en AWS: Servicios y Herramientas Esenciales