Prácticas politicas IAM

Clase 5 de 20 • Curso Práctico de AWS: Roles y Seguridad con IAM

Clase anteriorSiguiente clase

Wilson Montenegro

student•

Anotado todo lo que creamos para después borrarlo 😅

Enrique Alexis Lopez Araujo

student•

Para el tema de grupo, roles y politicas, no necesitas borrar los recursos ya que estos no se cobran dentro de IAM 💚

JESUS SONCO CABEZAS

student•

Creo que nos enseña las malas practicas que no debemos hacer en IAM😅 Al menos eso entendí en el ++minuto 5:35++

Juan Manuel Hincapié

student•

Creación de política de seguridad desde AWS.

Dentro del usuario acceder al usuario
Posteriormente acceder a permisos
Presionar en "Add Inline Policy"
Seleccionar el servicio que usaremos, en este caso IAM
Seleccionar las acciones que queremos que tenga el usuario
Seleccionar todos los resources o los requeridos
Se le da un nombre y se crea la política

La recomendación es no crear políticas basadas en los usuarios sino por el contrario asignar políticas a grupos y agregar los usuarios a los grupos, por temas de facilidad en el control de los servicios cuando la cantidad de usuarios es significativa

Podemos adjuntar un usuario a varios grupos

Diego Fernando Ramos Aguirre

student•

Gracias por el aporte.

Angel Alberto Briceño Obregón

student•

Estas son algunas de las prácticas más recomendadas para la administración de cuentas en IAM:

Principio de mínimo privilegio: Otorga solo los permisos necesarios para realizar una tarea específica. No des permisos administrativos completos a menos que sea absolutamente necesario.
Usa grupos o roles de IAM: En lugar de asignar permisos a usuarios individuales, asigna permisos a grupos o roles de IAM y luego agrega usuarios a esos grupos o roles.
No uses las credenciales de la cuenta raíz para el trabajo del día a día: Las credenciales de la cuenta raíz tienen acceso completo a todos los recursos en la cuenta y no se pueden revocar ni limitar. Es mejor usarlas lo menos posible y, en su lugar, usar usuarios de IAM.
Habilita la autenticación de dos factores (MFA): Esto agrega una capa adicional de seguridad a tus cuentas de usuario.
Rota regularmente las claves de seguridad: Al igual que las contraseñas, las claves de seguridad (como las claves de acceso de AWS) deben cambiarse regularmente.
Usa políticas de contraseñas para asegurar que los usuarios sigan las prácticas recomendadas de contraseñas: Esto incluye el uso de contraseñas complejas, el cambio de contraseñas regularmente y el no reutilizar contraseñas antiguas.
Revisa regularmente los permisos de IAM: Verifica regularmente quién tiene acceso a qué para asegurarte de que solo las personas correctas tienen acceso a los recursos apropiados.
Usa roles de IAM para aplicaciones y servicios que necesiten acceso a AWS: Esto incluye servicios de AWS como EC2 y Lambda, así como aplicaciones en tus servidores que necesiten acceso a recursos de AWS.
Registra y monitorea la actividad en tu cuenta: Utiliza AWS CloudTrail para registrar, auditar y monitorear la actividad en tu cuenta.

Kevin Parra Lopez

student•

Aunque la mayoría de estos ejercicios lo vimos en cursos pasados, no sé, este como que no me terminar de llenar, los otros cursos dejaron la vara muy alta

Mario Alexander Vargas Celis

student•

Aquí tienes algunas prácticas recomendadas y ejercicios para trabajar con políticas IAM en AWS.

🏋️ Prácticas con Políticas IAM en AWS

📌 1. Crear una Política Personalizada en IAM

Objetivo: Crear una política que permita a un usuario ver pero no modificar los recursos en Amazon S3.

Pasos:

Ir a la consola de AWS IAM.
En el menú lateral, seleccionar Políticas → Crear política.
Seleccionar JSON y agregar la siguiente política:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws:s3:::mi-bucket", "arn:aws:s3:::mi-bucket/*" ] } ] }

Hacer clic en Siguiente y asignar un nombre, por ejemplo: "S3ReadOnlyPolicy".
Guardar la política y adjuntarla a un usuario o grupo en IAM.

📌 2. Crear una Política de Acceso Restringido a una Región

Objetivo: Permitir que un usuario solo cree instancias EC2 en la región us-east-1.

Pasos:

En IAM, ir a Políticas → Crear política.
En JSON, agregar:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": "us-east-1" } } } ] }

Guardar la política y adjuntarla a un usuario de prueba.
Intentar lanzar una instancia en otra región para verificar la restricción.

📌 3. Crear una Política de Acceso Basado en Horarios

Objetivo: Permitir que un usuario acceda a la consola de AWS solo en horarios laborales (Ejemplo: de 8 AM a 6 PM UTC).

Pasos:

Crear una nueva política en IAM.
En JSON, agregar la siguiente regla:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NumericGreaterThan": { "aws:CurrentTime": "18:00:00" }, "NumericLessThan": { "aws:CurrentTime": "08:00:00" } } } ] }

Adjuntar esta política a un usuario y probar acceder fuera del horario permitido.

📌 4. Crear una Política para Bloquear la Eliminación de Recursos Críticos

Objetivo: Evitar que los usuarios eliminen instancias EC2, pero permitirles iniciarlas y detenerlas.

Pasos:

Crear una política con la siguiente configuración en JSON:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "ec2:TerminateInstances" ], "Resource": "*" } ] }

Asignar la política a un usuario y verificar que no pueda eliminar una instancia EC2.

✅ Buenas Prácticas al Trabajar con IAM

✔ Aplicar el principio de menor privilegio: Asignar solo los permisos necesarios. ✔ Usar roles en lugar de usuarios con claves de acceso permanentes. ✔ Habilitar MFA (Autenticación Multifactor) para usuarios críticos. ✔ Revisar permisos regularmente con AWS IAM Access Analyzer. ✔ Monitorear con AWS CloudTrail para detectar accesos sospechosos.

🚀 ¡Ahora puedes poner en práctica el manejo de políticas IAM en AWS! 🔐

María Elizabeth Puentes Puente

student•

¿Como funciona la colisión de permisos si un usuario pertenece a mas de un grupo?

Wilbert J Galano Batista

student•

Juan Ronald Montiel Sandoval

student•

Dónde están las Best Practicies para IAM?

Enrique Alexis Lopez Araujo

student•

Hola @juan mira te comparto este documento donde encontraras mas sobre best practices in IAM

Juan Ronald Montiel Sandoval

student•

Dónde puedo encontrar las Best Practicies para IAM?

Enrique Alexis Lopez Araujo

student•

Hola @juan mira te comparto este documento donde encontraras mas sobre best practices in IAM

Erick Bonilla

student•

Es pregunta. vi que al usuario alexis practica se adjunto a 2 grupos (developer, y administradores) pero tomó los permisos de developer que solo tenia de reaadOnly, si entendi bien, el usuario va a tomar la politica de menos permisos aunque tenga permisos de semiDios en otro grupo???

Sebastian Baez Ramos

student•

Hola, Erick. Lo que pasó fue que el profesor eliminó al usuario "alexispractica" del grupo "administrator", por ende pierde los permisos de dicho grupo. Posteriormente, crea un grupo de "developers" con la política de "IAMReadOnlyAccess" y agrega al usuario "alexispractica" al grupo "developers". En el minuto 8:02 puedes observar en la ventana derecha (donde está logueado el usuario "alexispractica") que el grupo "administrators" no tiene ningún usuario y que el grupo "developers" tiene un usuario.

Sergio Brandon De Lucio Chavero

student•

Al final el usuario solo estaba en el grupo de developers

Ruben Galindo

student•

Cuando un usuario en AWS se agrega a múltiples grupos, hereda las políticas de acceso de todos esos grupos. Si un grupo tiene una política que permite cierta acción y otro grupo tiene una política que la deniega, se aplicará la regla de "deny takes precedence" (la negación tiene prioridad). Es decir, si un grupo otorga acceso y otro grupo lo niega, el acceso será denegado. Esto es esencial para la gestión de permisos y seguridad en la infraestructura en la nube de AWS.

Jhon Freddy Tavera Blandon

student•

Con las actualizaciones de AWS y la clase es algo confuso crear los usuarios y los grupos, con sus respectivos permisos y políticas. Pero se puede

Julio César Velásquez Mejía

student•

Hubiera sido genial que en las prácticas se hablen de los precios estimados que cada servicio puede tener.

Mauro Nava

student•

Seria util tenerlo. Pero AWS ofrece una herramienta llamada Cost Explorer

Jeisson Espinosa

student•

Información resumida de esta clase #EstudiantesDePlatzi

No es buena idea crear políticas para usuarios, lo mejor es crear grupos y a estos grupos aplicarles las políticas
Las políticas puedo crearlas de manera muy visual dentro de AWS

Yerson Rojas

student•

Depende de la jeraquia de los usuarios, es bueno hacer politicas de grupo, si el permiso es muy especifico seria bueno utilizar politicas :)

Alejandro Castaño Vargas

student•

Este aporte lo dió el profe en un comentario, pero siento que le falta visibilidad.

Buenas prácticas de AWS Identity and Access Management (IAM): https://aws.amazon.com/es/iam/resources/best-practices/#topic-0

Usar credenciales temporales
Requerir MFA
Rotar las claves de acceso regularmente
Proteger las credenciales del usuario root
Conceder privilegios mínimos
Utilizar IAM Access Analyzer
Verificar el acceso público y entre cuentas a los recursos
Validar sus políticas de IAM para asegurar permisos seguros y funcionales
Establecer barreras de permisos
Delegar la gestión de permisos