Gestión de Identidad y Acceso en AWS (IAM)

Clase 9 de 15Curso de Introducción a AWS: Fundamentos de Cloud Computing

Clase anteriorSiguiente clase

Resumen

La gestión eficiente de quién accede y a qué accede en tu infraestructura en la nube es crucial para la seguridad y operatividad. Aquí es donde entra en juego Identity and Access Management (IAM) de AWS, un servicio diseñado específicamente para gestionar accesos y permisos detalladamente en entornos AWS.

¿Qué es Identity and Access Management (IAM)?

IAM es un servicio gratuito y nativo en AWS concebido para gestionar accesos y establecer permisos en los recursos. Permite a los administradores crear distintos usuarios y grupos, otorgando o denegando acceso mediante políticas detalladas:

  • Facilita atribuír permisos específicos para cada usuario.
  • Administra variaciones de acceso según las necesidades operativas.
  • Mejora la seguridad general al regular quién puede ver o modificar qué recursos específicos.

¿Cómo funcionan los usuarios y grupos en IAM?

Al crear tu primera cuenta de AWS, obtienes un usuario root con acceso ilimitado a todos los recursos. Desde ahí puedes definir usuarios específicos como desarrolladores, ventas, testers o contadores, asignando accesos y funcionalidades adaptadas a sus respectivas tareas:

  • Desarrolladores quizá necesitan acceder exclusivamente a servidores de desarrollo.
  • Personal de ventas sólo necesita visualizar reportes en servicios de almacenamiento.
  • Testers requieren entrar en servidores específicos orientados a pruebas y desarrollo.
  • Un Ingeniero de versiones podría necesitar acceso global.

Al agrupar usuarios con requerimientos similares se optimiza aún más la gestión. Por ejemplo, en vez de configurar permisos individualmente para 10 personas del área de desarrollo, creas un único grupo, asignas los permisos correctos al grupo y simplemente sumas usuarios al mismo.

¿Qué son las políticas en IAM y cómo funcionan?

Las políticas definen con precisión los permisos otorgados tanto a usuarios como a grupos. Estas políticas suelen configurarse fácilmente en la consola de IAM mediante documentos JSON intuitivos.

Un ejemplo de política podría ser:

  • Otorgar acceso total a un servidor de desarrollo.
  • Permitir almacenamiento o visualización de archivos dentro del servicio AWS denominado S3.

Cada política incluye:

  • List Bucket: permite visualizar el contenido del Bucket o contenedor de almacenamiento.
  • Perímetro específico de acceso: se define mediante una barra diagonal y un asterisco (/*) para indicar acceso completo al contenido interno del Bucket.

¿Qué son los roles IAM y en qué se diferencian de usuarios?

Los roles IAM tienen un funcionamiento en esencia similar al de los usuarios, pero presentan características únicas:

  • Pueden ser asumidos tanto por usuarios humanos como por servicios AWS.
  • Son ideales para otorgar permisos a, por ejemplo, máquinas virtuales alojadas en AWS que requieran conectarse directamente a bases de datos dentro del mismo entorno.

Utilizar roles proporciona una capa adicional de seguridad, superior a las simples combinaciones usuario-contraseña o Firewalls tradicionales.

¿Tienes dudas específicas sobre IAM o quisieras profundizar en algún aspecto en particular? ¡Comenta y comparte tu experiencia!