Principios AAA de seguridad con AWS IAM

Clase 3 de 30 • Curso de Ciberseguridad para Desarrollo Web

Resumen

Domina los principios AAA de seguridad en AWS con un enfoque práctico y claro. Aquí verás cómo diferenciar autenticación, autorización y accountability, y cómo implementarlos con IAM para crear un usuario administrador, gestionar policies y activar two factor authentication, aprovechando el free trial sin sorpresas.

¿Qué son autenticación, autorización y accountability?

Entender la triple A es la base de una operación segura en la nube. La autenticación verifica que un usuario puede entrar con credenciales válidas (usuario y contraseña). La autorización define a qué recursos y acciones tiene permisos. La accountability (auditoría) asegura que todo sea trazable con logs, evitando una “caja negra”.

¿Qué diferencia a autenticación de autorización?

Autenticación: acceso al sistema con credenciales válidas.
Autorización: permisos específicos sobre recursos y acciones.
Pista clave: entrar no implica poder hacerlo todo.

¿Cómo aporta IAM a la triple A?

Crea usuarios y les asigna roles que pueden ser asumidos por ellos.
Define políticas de acceso para controlar la autorización.
Facilita la auditoría: todo queda registrado y auditable.

¿Cómo crear cuenta de AWS y usuario administrador en IAM?

Primero, evita operar con el usuario root más de lo necesario. Úsalo solo para tareas críticas y crea un usuario administrador para el trabajo diario.

¿Qué pasos seguir para registrar una cuenta?

Ir a “create new account” y escoger un nombre de usuario (ejemplo mostrado: mlenis26).
Validar el correo con un código de verificación.
Crear una contraseña y guardarla en un gestor como Bitwarden o LastPass.
Agregar método de pago: dentro del free trial, no habrá cobros si te mantienes en los límites.
Elegir el plan de soporte básico (gratuito) y acceder a la consola.

¿Cómo crear el usuario administrador en IAM?

Ir a IAM > usuarios y crear un usuario con acceso a consola.
Definir una contraseña conocida y guardarla en tu gestor. Deshabilitar el cambio obligatorio si es para uso personal.
Adjuntar policies directamente: seleccionar la política de administrador, AdministratorAccess.
Comprender la policy: es un JSON que “permite acción todo sobre todo”, equivalente a administrador.
Confirmar y crear: usarás este usuario para continuar trabajando con seguridad.

¿Cómo activar MFA y mejorar el acceso con alias?

Asegura el usuario root con una capa extra. Activar multifactor authentication o two factor authentication reduce riesgos al requerir un código temporal además de la contraseña.

¿Cómo proteger el usuario root con two factor authentication?

En el dashboard de IAM, añadir multifactor authentication para el root.
Elegir aplicación de autenticación: Authy o Google Authenticator.
Nombrar el dispositivo sin espacios (por ejemplo: “Personal”).
Escanear el código QR en la aplicación.
Introducir dos códigos consecutivos generados cada minuto para registrar el dispositivo.
Revisar que las recomendaciones de seguridad queden en verde.

¿Cómo usar un account alias y una single URL para ingresar?

Crear un account alias para no depender del account ID (ejemplo: “Platsi Security”).
Usar la single URL con el alias para acceder más fácil.
Cerrar sesión del root y entrar como usuario de IAM.
En la pantalla de login de IAM, usar el alias en lugar del account ID si lo tienes.
Iniciar sesión con el usuario y contraseña configurados; verás el IAMUser del administrador (ejemplo mostrado: mlenisth).

Consejo práctico para el curso: gestionarás contraseñas, credenciales, secretos y API keys. Usa un manejador de contraseñas desde el principio para mantener todo seguro y ordenado.

¿Tienes dudas sobre IAM, MFA o las policies? Deja tu pregunta y cuéntame qué parte quieres que ampliemos.

Eloy Chávez Dev

student•

Autenticación (Authentication):

Es el proceso de verificar la identidad de un usuario o dispositivo.
Se basa en la pregunta "¿Quién eres?".
Se utiliza para confirmar que un usuario es quien dice ser.
Ejemplos de métodos de autenticación: contraseñas, biometría, tokens de seguridad.

Autorización (Authorization):

Determina qué recursos o acciones puede realizar un usuario o dispositivo autenticado.
Se basa en la pregunta "¿Qué puedes hacer?".
Define los permisos y privilegios de cada usuario.
Ejemplos de mecanismos de autorización: roles de usuario, listas de control de acceso (ACL).

Accountability (Responsabilidad):

Es el proceso de registrar y auditar las acciones de los usuarios o dispositivos.
Se basa en la pregunta "¿Qué has hecho?".
Permite rastrear y responsabilizar a los usuarios por sus acciones.
Ejemplos de mecanismos de accountability: registros de auditoría, registros de acceso.

Eloy Chávez Dev

student•

Yo uso Bitwarden es fácil de usar para cualquier dispositivo y no ha tenido filtraciones como las que ha tenido LastPass 🤓

María Camila Lenis Restrepo

teacher•

Sii, para uso personal me he sentido mejor con Bitwarden

Luis Sandoval

student•

Sii, yo personalmente he usado Bitwarden en los últimos días y me ha parecido muy sencilla

Walter Omar Barrios Vazquez

student•

Así como la profe está usando el correo de gmail, también podemos hacerlo con nuestra cuenta y agregar el símbolo + y alguna referencia al servicio donde estemos usando el mail.

Por ejemplo si tenemos el correo zerocool@gmail.com podríamos utilizar zerocool+aws@gmail.com para registrarnos en aws.

Interesante por si alguien no lo sabía.

Diego Jose Chavez

student•

Lastpass tiene mucha mala fama, lo han hackeado 5 veces hasta el momento, yo recomiendo Bitwarden tengo cierto tiempo usándolo y me ha parecido una maravilla.

María Camila Lenis Restrepo

teacher•

Sii, para el personal me he sentido mejor con Bitwarden. Aunque a veces el manejador de contraseñas también depende del que use la empresa

Angel Alberto Briceño Obregón

student•

Cuando necesiten tener las credenciales principales aseguradas en su local, usen KeePass. Creas una base de datos de secretos, puedes protegerlo con:

Password
+ Llave de seguridad de 256bits generado en forma aleatoria o a través de un generador.
+ User Windows Account (para los que usan MS Windows)

La Llave de seguridad (un fichero adicional) lo pueden llevar alejado de la base de datos de secretos. Si te llegan a robar la base de datos de secretos y te filtran el password no podrán acceder a la información si no tienen la Llave de seguridad.

KeePass tiene plugins para TOTP (Claves de un solo uso) que son usados para los sistemas de MFA. Funciona en Linux y Windows y tu base de datos puede ser portador en cualquier sistema operativo.

KeePass está desarrollado en .Net, esto hace que sea multiplataforma y en Linux funciona con el framework Mono (.NET).

Walter Omar Barrios Vazquez

student•

Recomiendo como manejador de contraseñas a KeyPass (https://keepass.info/). Lo uso hace varios años, es gratuito y de código abierto, lo tengo sincronizado con la compu y el celu.

EDWAR MAURICIO MAYORGA LLANOS

student•

Se podria usar localstack?

María Camila Lenis Restrepo

teacher•

Puedes extenderlo a la herramienta que quieras. Lo importante son los conceptos

Diego Fernando Ramos Aguirre

student•

AWS IAM = AWS Identity and Access Management

Nos ayuda a crear usuarios, a asignarles roles y crear políticas de acceso.

¿Por qué usar IAM?

Use IAM para que, de forma segura, administre y escale el acceso a las cargas de trabajo y al personal con el fin de impulsar la agilidad e innovación en AWS.

Funcionamiento

Con AWS Identity and Access Management (IAM), puede especificar quién o qué puede acceder a los servicios y recursos en AWS, administrar de forma centralizada los permisos específicos y analizar el acceso para perfeccionar los permisos en todo AWS.

Mas información aquí:

Jose Daniel Velasquez H

company_admin•

Genial, comenzare a usar AWS

Daniel Buitrago

student•

I recommend use BitWarrent too, is the best on my humble opinion and you can create folders to divide personal and work passwords, generate any kinda password and is so easy to use.

In summary, authentication is about verifying identity, authorization is about granting or denying access, and accountability is about tracking and monitoring activity.

Segundo Acosta Delgado

student•

Yo uso onepassword y no me falla hasta ahora

Eduardo Perez

student•

A alguien mas le pasó que en vez de entrar a I AM, entró a IAM IDentity Center ?? Saben si esto tiene costos adicionales ?? Alguien puede decirme como desactivarlo por favor !!

María Camila Lenis Restrepo

teacher•

Identity Center es más para manejar el SSO. Hace parte de IAM, pero es más avanzado. Debes buscar la consola de Identity and Access Manager solito:

Leonel Villegas

student•

Ampliaría que autenticidad es un principio que se satisface mediante procesos que validen la legitimidad del origen entre partes, si alguna tercera parte en una comunicación cibernética violare los mecanismos de confidencialidad como el encriptado y usara credenciales ajenas también estaría quitando el principio de autenticidad de un sistema, el veredicto puede variar dependiendo de los marcos legales de los países que sufran estos hechos

Felix Fabian Tablas Xolix

student•

Para el gestor de contraseñas puede ser keeper security

Jhon Sebastian Zuluaga Castañeda

student•

En AWS, la seguridad se basa en tres pilares: primero, la autenticación, que es verificar que quien intenta entrar realmente es quien dice ser, usando usuarios, contraseñas o incluso doble verificación; segundo, la autorización, que define qué cosas puede hacer ese usuario dentro del sistema, asegurando que solo tenga los permisos necesarios; y tercero, la auditoría, que consiste en registrar todas las acciones que se hacen para poder revisarlas después y detectar si hubo algún problema o acceso indebido. Así se mantiene el control y la seguridad de los recursos en la nube.

Javier Ramos

student•

KMS (Key Management Service) y Secrets Manager son servicios de AWS con propósitos diferentes. KMS se utiliza para crear y controlar claves criptográficas para cifrar datos, asegurando que solo los usuarios autorizados puedan acceder a ellas. Por otro lado, Secrets Manager está diseñado para almacenar, gestionar y acceder a secretos como contraseñas o credenciales, facilitando la rotación y el acceso seguro a estos datos sensibles. Ambos son cruciales para mantener la seguridad en aplicaciones, pero cumplen roles distintos en la gestión de datos y secretos.

Javier Ramos

student•

Comentario generado por Ada la IA de Platzi

Guillermo Baldán López

student•

¿Cómo funciona un manejador de contraseñas? Me refiero a si son aplicaciones centralizadas, que tienen una base de datos en común en la nube o son descentralizadas que solo viven en la máquina local.

Javier Ramos

student•

El servicio IAM (Identity and Access Management) de AWS es crucial para gestionar la seguridad en la nube. Permite crear y administrar usuarios y grupos de usuarios, así como asignar permisos específicos para controlar el acceso a recursos. Esto asegura que solo las personas autorizadas puedan realizar ciertas acciones, lo cual es esencial para mantener la integridad y seguridad de la aplicación. Además, IAM facilita la auditoría (accountability) al permitir rastrear quién accedió a qué recursos y cuándo, contribuyendo a una mejor gestión de la seguridad.

Javier Ramos

student•

En el curso se nos propone usar un servicio gratuito de AWS llamado IAM

Identity and

Access

Management

Por medio del cual podemos resolver la parte de la triple A

Authentication ( quien eres )

Authorization (A que estas autorizado )

Accountability (Auditoria)

Con este servicio podremos Crear usuarios, asignarles roles,politicas de accesos, contraseñas manejar secretos app keys

POr esto es recomendable usar un gestor de contraseñas

Alejandro Campuzano

student•

cuidado con perder la clave maestra de lastpass 😂 le pasó al primo de un amigo

María Camila Lenis Restrepo

teacher•

Ay no está taaaaaan mal jeje. Con el hint o el correo de recuperación ta bien

Principios AAA de seguridad con AWS IAM

Conceptos generales de seguridad

Cómo evitar que te hackeen con ingeniería social

Los 3 riesgos de seguridad que ignoras