Amazon AWS IAM (roles)

Roles de IAM:

  • Un rol es algo que otra entidad puede “asumir”, y al hacerlo adquiere un permiso específico de definido por el rol.
  • Las “entidades” que pueden asumir un rol incluyen recursos de AWS (tales como una instancia EC2) o una cuenta que no sea de AWS que pueda necesitar acceso temporal  a través de Token service (como un Servicio de Active Directory).
  • Se deben utilizar los roles porque las políticas no se pueden adjuntar directamente a los servicios de AWS. (importante)

Por ejemplo, si estas utilizando una instancia de EC2 y se necesita acceder a un bucket S3:

  1. La Instancia debe asumir un rol de IAM con los permisos necesarios. (por ejemplo solo lectura en el S3).
  2. La instancia puede entonces realizar acciones basadas en el rol que asume. (leer S3).

  • No debes pasar o almacenar credenciales en o  hacia una instancia de EC2 es un grabe problema de seguridad. por esta razón solo se deben utilizar los Roles pasar credenciales, nada de a través de la api, en linea de comandos etc…(siempre Utiliza los Roles)
  • Se pueden asignar los roles a las instancias y después modificarlos según las funciones asignadas a un EC2 (por si cambian desde que se creo la instancia) y lo puedes hacer a través de la consola de gestión de aws o bien con la linea de comandos CLI.

Una instancia de EC2 solo puede tener un rol asignado a la vez.

Otros usos de los roles:
– Otros usuarios pueden asumir un “rol” para el acceso temporal a las cuentas y recursos de AWS a través de los servicios STS (Security Token Service) como el Active Directory o un servicio de inicio de sesión único (por ejemplo, Facebook, Google) para así asumir el papel de “Identity Provider Access” y acceder a los recursos establecidos por el rol.
– Permite crear acceso o delegación desde una cuenta cruzada (cross accounts) donde un usuario de otra cuenta aws puede asumir un rol con los permisos de otra cuenta, realizando una delegación, por ejemplo en cuentas de una organización.

Recuerda:

  • Un rol no se utiliza para asociarlo únicamente con un usuario, grupo o servicio en particular sino que es asumible por cualquiera que lo necesite.
  • El rol no tiene ninguna credencial de acceso (contraseñas) asociada y quien asume el rol recibe un acceso temporal con los permisos del rol de manera dinámica.
  • Los roles pueden ayudar a prevenir el acceso accidental a recursos o la modificación de estos tuvieran información sensible.
  • Los roles  ayudan a crear una política de confianza que permite determinar quién puede acceder a los recursos y una política de permisos que permite determinar a qué recursos se puede acceder.

 

 

Alfonso López

Alfonso López

Instagram

AWS Certified Solutions Architect – Associate
Certified Information Security Manager.
MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
LPIC1 - SUSE SCA - MCSE
___________________________________________

!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src="http://platform.twitter.com/widgets.js";fjs.parentNode.insertBefore(js,fjs);}}(document,"script","twitter-wjs");
Alfonso López

Latest posts by Alfonso López (see all)

Animate a Comentar

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies