Juan David Sánchez
student•
hace 4 años
Juan David Sánchez
Nahuel Herrera
Patricio Sánchez Fernández
Juan Manuel Hincapié
Jefferson Pacheco Suárez
Mario Alexander Vargas Celis
Jhon Freddy Tavera Blandon
Jeisson Espinosa
Juan David Sánchez
Joalin Pineda
Leonardo Buezo
Yerson Rojas
Mariano David Melgar Zavala
DAVID GOMEZ CORTES
Nicoll Idaly Angulo Mejia
Nicoll Idaly Angulo Mejia
Efrén Rogelio Narvaez Peña
Joalin Pineda
Jose Alejandro Pantoja Giraldo
Jhon Freddy Tavera Blandon
Nota de resumen: Una buena práctica recomendada por AWS es que las políticas se creen y se asocien a los grupos. Esto con el fin de poder administrar fácilmente los usuarios cuando exista una cantidad considerable.
Son documentos en JSON que van a poder ser utilizados junto con los usuarios y los grupos.
Herencia de Politicas de IAM
Los accesos de un grupo se heredan a los usuarios miembros del grupo.
Se pueden crear politicas (inline politicy) para usuarios que no pertenecen a un grupo. (Es mejor practica crear un grupo y darle los permisos al grupo, no a usuarios). Un usuario puede compartir dos politicas, asi obtiene mas permisos.
_09.46.24.png){kind=small}
Estructura de las politicas
Consiste en
Declaracion consiste de:
Sid: un identificador
Efecto: permite o deniega el acceso
Principal: cuenta/usuario/rol al que se aplica esta politica
Accion: lista de acciones
Recursos: lista de recursos
Condicion: condiciones (opcional)
_09.52.38.png){kind=small}
Buen aporte, Nahuel.
{ "Version": "2012-10-17", "Id": "S3-Account-Permissions", "Statement": [ { "Sid": "1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": [ "s3:GetObject", "s3:PutObject" ], "Rosource": [ "arn:aws:s3:::my-bucket/*" ] } ] }
Políticas IAM
Son documentos escritos en JSON que nos permiten asignar o delimitar permisos a grupos y usuarios.
Ahora bien, dado su nivel de importancia para la seguridad de nuestros recursos y servicios, estos documentos contienen algunas características que merecen ser tenidas en cuenta.
Herencia de políticas de IAM
Dado que los grupos contienen múltiples usuarios, AWS recomienda como buena práctica para la administración de permisos, que, si bien los usuarios también pueden obtener permisos sin pertenecer a grupos; siempre se otorguen estos privilegios a los grupos y que sea a través de la herencia que los usuarios obtengan determinados privilegios.
Es importante resaltar que un usuario puede pertenecer a múltiples grupos al tiempo siempre y cuando sus políticas sean compatibles. De lo contrario puede generar errores no deseados o interferencias.
Estructura de las políticas
🔐 Políticas IAM en AWS: Guía Rápida
Las políticas IAM son reglas que definen permisos para los usuarios, grupos y roles en AWS. Permiten controlar quién puede hacer qué en los servicios y recursos de AWS.
📌 Tipos de Políticas IAM
AdministratorAccess, AmazonS3ReadOnlyAccess).📜 Estructura de una Política IAM (JSON)
Una política en IAM sigue un formato JSON con los siguientes elementos clave:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::mi-bucket" } ] }
🛠 Explicación de los elementos
Version: Define la versión de la política (debe ser "2012-10-17" para compatibilidad).Statement: Lista de reglas en la política.Effect: "Allow" (permitir) o "Deny" (denegar).Action: Acción permitida o denegada (Ejemplo: "s3:ListBucket" permite listar objetos en un bucket S3).Resource: Especifica a qué recurso se aplica la política (Ejemplo: arn:aws:s3:::mi-bucket).🎯 Ejemplo de Política con Múltiples Acciones
Permite a los usuarios leer y escribir en un bucket S3 específico:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::mi-bucket/*" } ] }
🚫 Ejemplo de Política de Denegación
Deniega la eliminación de objetos en un bucket S3:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "s3:DeleteObject", "Resource": "arn:aws:s3:::mi-bucket/*" } ] }
🔄 Cómo Adjuntar una Política a un Usuario o Grupo
AmazonS3ReadOnlyAccess a un usuario):aws iam attach-user-policy --user-name MiUsuario --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
✅ Buenas Prácticas en IAM
✔ Aplicar el principio de menor privilegio (dar solo los permisos necesarios). ✔ Usar roles en lugar de usuarios con credenciales permanentes. ✔ Habilitar MFA (Autenticación Multifactor) para mayor seguridad. ✔ Revisar y auditar permisos regularmente con IAM Access Analyzer.
🚀 ¡Ahora tienes el control sobre las políticas IAM en AWS! 🔐
¿Qué son las Políticas IAM en AWS?
Las políticas IAM (Identity and Access Management) en AWS son documentos en formato JSON que definen los permisos que se otorgan a usuarios, grupos y roles en AWS. Estas políticas especifican qué acciones están permitidas o denegadas sobre qué recursos. Las políticas IAM son fundamentales para controlar el acceso a los servicios y recursos en AWS de manera segura y eficiente.
Componentes de una Política IAM
Ejemplo de una Política IAM Básica
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::example_bucket" } ] }
Información resumida de esta clase #EstudiantesDePlatzi
Las políticas son documentos Json, puedo crear políticas para grupos y usuarios
Lo mejor es hacer que los grupos tengan políticas
Dentro de una política encontramos: Una versión, identificador y declaración
Dentro de las declaraciones encontramos: Sid, efecto, principal, acción, recurso y condición
En el minuto 5:15 el profesor dice que dejará un enlace con la lista de accesos, acciones y un simulador. Pero los recursos aparecen vacíos ¿olvidaron agregar estos recursos?
¡Hola, Juan! Ya puedes encontrar estos enlaces en la sección de recursos. :smiley: https://awspolicygen.s3.amazonaws.com/policygen.html https://policysim.aws.amazon.com/home/index.jsp ¡Nunca pares de aprender! 🚀
++Algunas notas adicionales al contenido de esta clase:++ AWS busca en todas las políticas de usuario y se fija si hay denegación, si no la hay verifica si tiene explícitamente permitida cierta acción, sino se deniega la acción.
Políticas basadas en identidad
Políticas basadas en recursos
De hecho en github y aws se encuentran muy buenas politicas de IAM ya predefinidas
Muchos aprendemos mejor cuando escuchamos y leemos al mismo tiempo. Sería bueno que traten de poner subtitulos a todos los cursos. Gracias.
{ “Id”: “Policy1658452573375”, “Version”: “2012-10-17”, “Statement”: [ { “Sid”: “Stmt1658452566728”, “Action”: [ “s3:CreateBucket”, “s3:DeleteBucket” ], “Effect”: “Allow”, “Resource”: “arn:aws:s3${miBucket}/${miLlave}”, “Condition”: { “AquiVaLaCondicion”: { “EstoIgualA”: “Esto” } }, “Principal”: { “AWS”: [ “cualquier_cuenta” ] } } ] }
Para que existen las las policies Deny, si igual, si no se tiene el rol. Lo demás quedaría inhabilitado?
Los users tienen algún tipo de descripción? Como para no olvidar que eran?
Hola Enrique. No aparece el enlace de acciones en RECURSOS ¿Podrian compartirlo? Gracias.
¡Hola, Efren! Ya puedes encontrar estos enlaces en la sección de recursos. :smiley: https://awspolicygen.s3.amazonaws.com/policygen.html https://policysim.aws.amazon.com/home/index.jsp ¡Nunca pares de aprender! 🚀
Me encanta que las cosas se alimenten con Json, porque se pueden crear politicas completas con codigo y exportarlas a AWS de un soplo
¿Qué son las Políticas IAM en AWS?
Las políticas IAM (Identity and Access Management) en AWS son documentos en formato JSON que definen los permisos que se otorgan a usuarios, grupos y roles en AWS. Estas políticas especifican qué acciones están permitidas o denegadas sobre qué recursos. Las políticas IAM son fundamentales para controlar el acceso a los servicios y recursos en AWS de manera segura y eficiente.