Antes de construir cualquier arquitectura en AWS, es fundamental preparar dos pilares que protegen tanto la seguridad como el bolsillo: definir quién puede acceder a qué y configurar una alerta que avise si se genera algún cobro inesperado. Estas dos acciones evitan sorpresas y sientan las bases para trabajar con confianza en la nube.
¿Qué son las listas de control de acceso y por qué importan?
Cuando una solución involucra múltiples usuarios, webhooks de GitHub y distintos recursos de AWS, cada uno necesita una capa de autorización clara. El mecanismo para lograrlo son las Access Control List (ACL) [0:20], listas donde se especifica qué usuarios o recursos tienen permiso para interactuar con cada elemento de la arquitectura.
Sin embargo, las ACL son solo el mecanismo; el criterio que guía la asignación de permisos es el principio de least privilege o mínimo privilegio [0:42]. La idea es sencilla pero poderosa:
- Otorgar únicamente los permisos estrictos que un recurso o usuario necesita para funcionar.
- No partir del usuario administrador con todos los poderes y luego ir quitando accesos.
- Comenzar con restricciones totales e ir ampliando solo cuando sea necesario.
Este enfoque reduce la superficie de ataque y evita que un permiso excesivo se convierta en una vulnerabilidad.
¿Cómo configurar un presupuesto cero en AWS para no gastar un peso?
Trabajar dentro del free tier de AWS requiere vigilancia constante. Una instancia de RDS encendida por descuido, por ejemplo, puede generar cargos. Para prevenirlo, se configura una alerta de presupuesto directamente desde la consola.
¿Cuáles son los pasos dentro de la consola?
El proceso es rápido y se realiza con el usuario root [1:14]:
- Acceder al menú superior y seleccionar Billing and Cost Management [1:18].
- Ir a la sección Budgets and planning y dentro de ella a Budgets [1:32].
- Hacer clic en Create budget y elegir entre los templates disponibles.
- Seleccionar el template llamado Zero spend budget [1:46], diseñado para recibir una notificación ante cualquier cobro, por mínimo que sea.
- Especificar el correo electrónico donde se recibirá la alerta [1:54].
- Confirmar con Create budget.
Una vez creado, el budget aparece con un status OK [2:06], lo que indica que no se ha incurrido en ningún costo. Se pueden crear tantos budgets como se necesiten, ajustados al nivel de gasto esperado.
¿Qué hacer si llega una notificación de cobro?
La clave es reaccionar rápido: revisar qué recurso está generando el costo, apagar o eliminar instancias que ya no se usen y verificar que todo se mantenga dentro del free tier [2:22]. Esta práctica es especialmente útil durante el aprendizaje, donde es común olvidar recursos activos.
¿Por qué combinar seguridad y control de costos antes de diseñar la arquitectura?
Establecer permisos con el principio de mínimo privilegio y tener visibilidad sobre los costos son dos caras de la misma moneda: gobernanza responsable en la nube. Sin control de acceso, cualquier componente podría comprometer la solución. Sin control de gastos, un recurso olvidado podría representar un cobro innecesario.
Con estas bases listas, el siguiente paso es diseñar la arquitectura del proyecto en AWS y definir las capas de seguridad específicas para cada servicio. Si ya configuraste tu zero spend budget, comparte en los comentarios cómo te fue con el proceso.
