La seguridad de identidad en AWS define quién accede a qué dentro de tu infraestructura en la nube y cómo proteges esos accesos. Aquí descubres los servicios que AWS ofrece para resguardar datos, infraestructura, detectar amenazas y gestionar identidades, útil para quienes diseñan o administran aplicaciones cloud.

La idea central es simple: cuando trasladas tus aplicaciones a la nube, necesitas que solo las personas correctas accedan a los recursos correctos. Y aquí viene lo interesante, AWS no resuelve esto con un único servicio, sino con un ecosistema completo dividido en cuatro frentes: protección de datos, protección de infraestructura, detección de amenazas y gestión de identidad.

¿Cómo proteger los datos sensibles en AWS?

La protección empieza por los datos. AWS te da herramientas específicas para descubrir, cifrar y resguardar información crítica.

• Amazon Macie: descubre y protege datos sensibles automáticamente.
• AWS Key Management Service (KMS): almacena y administra claves de cifrado.
• AWS CloudHSM: almacenamiento de claves basado en hardware con cumplimiento normativo.
• AWS Certificate Manager: provisiona y administra certificados SSL y TLS.
• AWS Secrets Manager: rota, gestiona y recupera secretos como contraseñas.

¿Qué hace Amazon Macie? Descubre y protege datos sensibles dentro de tu cuenta AWS. Identifica información confidencial para que sepas dónde está y cómo resguardarla.

¿Qué servicios usa AWS para proteger la infraestructura?

Una vez resguardados los datos, toca blindar la infraestructura que los aloja. AWS lo aborda con tres servicios complementarios.

• AWS Shield: protección contra ataques de denegación de servicio (DDoS).
• AWS WAF (Web Application Firewall): filtra el tráfico malicioso hacia tus sitios web.
• AWS Firewall Manager: administra reglas de firewall de forma centralizada.

La lógica detrás es por capas: Shield detiene ataques masivos, WAF filtra peticiones sospechosas a tus aplicaciones web y Firewall Manager te permite gobernar todas las reglas desde un solo lugar.

¿Cómo se detectan las amenazas en AWS?

La detección es proactiva. AWS te ofrece servicios que vigilan, registran y auditan lo que ocurre en tu cuenta.

• Amazon GuardDuty: detecta amenazas de forma automática.
• Amazon Inspector: analiza la seguridad de tus aplicaciones dentro de AWS.
• AWS Config: registra y evalúa configuraciones de tus recursos.
• AWS CloudTrail: rastrea la actividad de usuarios y el uso de las APIs en tu cuenta.

¿Para qué sirve AWS CloudTrail? Rastrea quién hizo qué dentro de tu cuenta AWS, incluyendo el uso de APIs. Es útil para auditoría y para investigar incidentes.

¿Qué es la gestión de identidad en AWS y qué servicios la cubren?

Aquí entra el corazón de la seguridad de identidad: definir quién es quién y qué puede hacer dentro de tu cuenta.

• AWS Identity and Access Management (IAM): administra de forma segura el acceso a cuentas, servicios y recursos de AWS.
• AWS Single Sign-On (SSO): implementa inicio de sesión único en la nube.
• Amazon Cognito: administra identidad dentro de aplicaciones móviles y web, permitiendo que tus usuarios inicien sesión.
• AWS Directory Service: implementa y administra un Active Directory, similar al que encuentras en Microsoft.
• AWS Organizations: gobierna y administra de forma centralizada varias cuentas de AWS en un mismo lugar.

IAM es el servicio base que controla accesos internos, mientras que Cognito está pensado para los usuarios finales de tus aplicaciones. Si manejas múltiples cuentas en tu empresa, Organizations te permite verlas y administrarlas desde un solo panel.

¿Cuál es la diferencia entre IAM y Amazon Cognito? IAM controla el acceso de usuarios y servicios dentro de AWS. Cognito gestiona la identidad de los usuarios finales que entran a tus aplicaciones móviles o web.

En la próxima lección verás IAM con un enfoque ilustrado para entender mejor cómo funciona en la práctica. ¿Cuál de estos servicios crees que aplicarías primero en tu proyecto? Cuéntalo en los comentarios.