Politicas IAM

Clase 4 de 20 • Curso Práctico de AWS: Roles y Seguridad con IAM

Juan David Sánchez

student•

Nota de resumen: Una buena práctica recomendada por AWS es que las políticas se creen y se asocien a los grupos. Esto con el fin de poder administrar fácilmente los usuarios cuando exista una cantidad considerable.

Nahuel Herrera

student•

Son documentos en JSON que van a poder ser utilizados junto con los usuarios y los grupos.

Herencia de Politicas de IAM

Los accesos de un grupo se heredan a los usuarios miembros del grupo.

Se pueden crear politicas (inline politicy) para usuarios que no pertenecen a un grupo. (Es mejor practica crear un grupo y darle los permisos al grupo, no a usuarios). Un usuario puede compartir dos politicas, asi obtiene mas permisos.

Estructura de las politicas

Consiste en

Version
Id: Un identificador para la politica
Declaracion: una o mas

Declaracion consiste de:

Sid: un identificador
Efecto: permite o deniega el acceso
Principal: cuenta/usuario/rol al que se aplica esta politica
Accion: lista de acciones
Recursos: lista de recursos
Condicion: condiciones (opcional)

https://policysim.aws.amazon.com/home/index.jsp?#

https://awspolicygen.s3.amazonaws.com/policygen.html

Patricio Sánchez Fernández

student•

Buen aporte, Nahuel.

Juan Manuel Hincapié

student•

{   
	"Version": "2012-10-17",
	"Id": "S3-Account-Permissions",
	"Statement": [  
		{  
			"Sid": "1",  
			"Effect": "Allow",
			"Principal": {
				"AWS": "arn:aws:iam::123456789012:root"
			},
			"Action": [
				"s3:GetObject",
				"s3:PutObject"
			],
			"Rosource": [
				"arn:aws:s3:::my-bucket/*"
			] 
		}
	]
}

Jefferson Pacheco Suárez

student•

Políticas IAM

Son documentos escritos en JSON que nos permiten asignar o delimitar permisos a grupos y usuarios.

Ahora bien, dado su nivel de importancia para la seguridad de nuestros recursos y servicios, estos documentos contienen algunas características que merecen ser tenidas en cuenta.

Herencia de políticas de IAM

Dado que los grupos contienen múltiples usuarios, AWS recomienda como buena práctica para la administración de permisos, que, si bien los usuarios también pueden obtener permisos sin pertenecer a grupos; siempre se otorguen estos privilegios a los grupos y que sea a través de la herencia que los usuarios obtengan determinados privilegios.

Es importante resaltar que un usuario puede pertenecer a múltiples grupos al tiempo siempre y cuando sus políticas sean compatibles. De lo contrario puede generar errores no deseados o interferencias.

Estructura de las políticas

Mario Alexander Vargas Celis

student•

🔐 Políticas IAM en AWS: Guía Rápida

Las políticas IAM son reglas que definen permisos para los usuarios, grupos y roles en AWS. Permiten controlar quién puede hacer qué en los servicios y recursos de AWS.

📌 Tipos de Políticas IAM

Administradas por AWS: Políticas predefinidas listas para usar (Ej: AdministratorAccess, AmazonS3ReadOnlyAccess).
Administradas por el Cliente: Políticas personalizadas creadas por el usuario.
Políticas en Línea: Específicas para un solo usuario, grupo o rol.

📜 Estructura de una Política IAM (JSON)

Una política en IAM sigue un formato JSON con los siguientes elementos clave:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::mi-bucket" } ] }

🛠 Explicación de los elementos

Version: Define la versión de la política (debe ser "2012-10-17" para compatibilidad).
Statement: Lista de reglas en la política.
Effect: "Allow" (permitir) o "Deny" (denegar).
Action: Acción permitida o denegada (Ejemplo: "s3:ListBucket" permite listar objetos en un bucket S3).
Resource: Especifica a qué recurso se aplica la política (Ejemplo: arn:aws:s3:::mi-bucket).

🎯 Ejemplo de Política con Múltiples Acciones

Permite a los usuarios leer y escribir en un bucket S3 específico:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::mi-bucket/*" } ] }

🚫 Ejemplo de Política de Denegación

Deniega la eliminación de objetos en un bucket S3:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "s3:DeleteObject", "Resource": "arn:aws:s3:::mi-bucket/*" } ] }

🔄 Cómo Adjuntar una Política a un Usuario o Grupo

Desde la Consola de AWS:
- Ir a IAM > Usuarios / Grupos / Roles.
- Seleccionar el usuario o grupo.
- Ir a la pestaña Permisos y hacer clic en Adjuntar políticas.
- Buscar y seleccionar la política deseada.
Desde AWS CLI (Ejemplo: adjuntar AmazonS3ReadOnlyAccess a un usuario):

aws iam attach-user-policy --user-name MiUsuario --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

✅ Buenas Prácticas en IAM

✔ Aplicar el principio de menor privilegio (dar solo los permisos necesarios). ✔ Usar roles en lugar de usuarios con credenciales permanentes. ✔ Habilitar MFA (Autenticación Multifactor) para mayor seguridad. ✔ Revisar y auditar permisos regularmente con IAM Access Analyzer.

🚀 ¡Ahora tienes el control sobre las políticas IAM en AWS! 🔐

Jhon Freddy Tavera Blandon

student•

¿Qué son las Políticas IAM en AWS?

Las políticas IAM (Identity and Access Management) en AWS son documentos en formato JSON que definen los permisos que se otorgan a usuarios, grupos y roles en AWS. Estas políticas especifican qué acciones están permitidas o denegadas sobre qué recursos. Las políticas IAM son fundamentales para controlar el acceso a los servicios y recursos en AWS de manera segura y eficiente.

Componentes de una Política IAM

Version: Especifica la versión del lenguaje de la política. La más común es "2012-10-17".
Statement: Es una lista de permisos que define qué está permitido o denegado. Cada declaración incluye:
- Effect: Indica si la declaración permite (Allow) o deniega (Deny) el acceso.
- Action: Las acciones que se permiten o deniegan (por ejemplo, s3).
- Resource: Los recursos a los que se aplican las acciones (por ejemplo, un bucket de S3 específico).
- Condition: Opcional. Especifica condiciones adicionales bajo las cuales la política es efectiva.

Ejemplo de una Política IAM Básica

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::example_bucket"
        }
    ]
}

Jeisson Espinosa

student•

Información resumida de esta clase #EstudiantesDePlatzi

Las políticas son documentos Json, puedo crear políticas para grupos y usuarios
Lo mejor es hacer que los grupos tengan políticas
Dentro de una política encontramos: Una versión, identificador y declaración
Dentro de las declaraciones encontramos: Sid, efecto, principal, acción, recurso y condición

Juan David Sánchez

student•

En el minuto 5:15 el profesor dice que dejará un enlace con la lista de accesos, acciones y un simulador. Pero los recursos aparecen vacíos ¿olvidaron agregar estos recursos?

Joalin Pineda

student•

¡Hola, Juan! Ya puedes encontrar estos enlaces en la sección de recursos. :smiley: https://awspolicygen.s3.amazonaws.com/policygen.html https://policysim.aws.amazon.com/home/index.jsp ¡Nunca pares de aprender! 🚀

Leonardo Buezo

student•

++Algunas notas adicionales al contenido de esta clase:++ AWS busca en todas las políticas de usuario y se fija si hay denegación, si no la hay verifica si tiene explícitamente permitida cierta acción, sino se deniega la acción.

Políticas basadas en identidad

adjunto a usuario , grupo , papel
controlan acciones y recursos tipos de políticas:

administrado por AWS
gestionado por el cliente
inline (accesos programados por ciertas tareas como auditorías o migraciones) .

Políticas basadas en recursos

adjunto a recursos de AWS por ejemplo S3, Glacier y KMS controlan:

acciones permitidas por un directorio específico
qué condiciones se requieren Son siempre políticas en línea. Son políticas basadas en recursos altamente compartidos.

Yerson Rojas

student•

De hecho en github y aws se encuentran muy buenas politicas de IAM ya predefinidas

Mariano David Melgar Zavala

student•

Muchos aprendemos mejor cuando escuchamos y leemos al mismo tiempo. Sería bueno que traten de poner subtitulos a todos los cursos. Gracias.

DAVID GOMEZ CORTES

student•

{ “Id”: “Policy1658452573375”, “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “Stmt1658452566728”, “Action”: [ “s3:CreateBucket”, “s3:DeleteBucket” ], “Effect”: “Allow”, “Resource”: “arn:aws:s3${miBucket}/${miLlave}”, “Condition”: { “AquiVaLaCondicion”: { “EstoIgualA”: “Esto” } }, “Principal”: { “AWS”: [ “cualquier_cuenta” ] } } ] }

Efrén Rogelio Narvaez Peña

student•

Hola Enrique. No aparece el enlace de acciones en RECURSOS ¿Podrian compartirlo? Gracias.

Joalin Pineda

student•

¡Hola, Efren! Ya puedes encontrar estos enlaces en la sección de recursos. :smiley: https://awspolicygen.s3.amazonaws.com/policygen.html https://policysim.aws.amazon.com/home/index.jsp ¡Nunca pares de aprender! 🚀

Jose Alejandro Pantoja Giraldo

student•

Me encanta que las cosas se alimenten con Json, porque se pueden crear politicas completas con codigo y exportarlas a AWS de un soplo

Jhon Freddy Tavera Blandon

student•

¿Qué son las Políticas IAM en AWS?