Amazon AWS IAM (Usuarios y Grupos IAM)

Continuando con la serie de artículos sobre AWS hoy hablaré de los usuarios y grupos IAM.

 El usuario de IAM representa a la persona o servicio que utiliza el acceso para interactuar con AWS.

Cuando se crea por primera vez, un usuario de IAM este tiene una denegación no explícita (non-explicit deny) para todos los servicios AWS y NO tiene acceso a ningún servicio hasta que se haya aplicado una política que permita el acceso a los servicios de aws al usuario o al grupo al que pertenece el usuario.

La creación de usuarios debe ser individual y las credenciales de acceso únicas, ademas no deben de compartirse con otros usuarios.Ademas deben de consistir en lo siguiente:

  • Contraseña para acceder a los servicios AWS a través de AWS Management Console.
  • Clave de acceso, (API KEY) secreta para acceder a los servicios AWS a través de API, CLI o SDK.

Siempre se recomienda seguir el “Principio de Menor Privilegio – Principle of Least Privilege” cuando se administre Cuentas, usuarios, grupos y roles de AWS.

Recuerda que cada usuario de IAM está asociado a una y solo a una cuenta AWS.

Un usuario IAM no se puede renombrar desde la consola de gestión AWS y tiene que hacerse desde herramientas CLI o SDK.

También es importante que las credenciales de usuarios nunca deben pasarse o almacenarse en una Instancia EC2 (para este tipo de cosas siempre hay que utilizar roles, lo veremos en otros artículos).

Los usuarios pueden tener políticas de grupo y de usuario aplicadas a ellos – lo que significa que un usuario puede tener múltiples políticas de IAM aplicadas a ellos en un momento dado, en función de si pertenece a un grupo u otro.

Por defecto una negación explicita (explicit deny) siempre anula un permiso explicito sobre un objeto aws.

Dentro de las buenas practicas también se recomiendo activar MFA en cada usuario para mejorar la seguridad.

Todo esto que se ha comentado es valido para todas las cuentas de usuarios, pero es que ademas tenemos una cuenta especial, denominada root, que es la cuenta administración, que siempre tiene acceso a todo y nunca se le puede denegar el acceso a los servicios AWS.

La cuenta Raíz (root) es la cuenta maestra que crea todo en tu organización aws, esta cuenta es la que mayor seguridad debe tener, utiliza contraseñas complejas mínimo 15 caracteres y si puedes del español como la ñ, viene muy bien para poner trabas a intentos de acceso o ataques por diccionario.

Las credenciales de cuenta root son la dirección de correo electrónico y la contraseña con las que inicias sesión en la cuenta de AWS.

Recuerda siempre leer al menos una vez las mejores practicas a la hora de crear y gestionar los usuarios en AWS.

Por ultimo, comentar los grupos de AWS, son conjuntos de usuarios que permiten organizarlos para realizar una mejor gestión de los permisos, y asignación de políticas.

por ultimo destacar que cada cuenta de usuario tiene un ARN (Amazon Resource Name – Nombre de recurso Amazon) que lo identifica, por defecto el formato es el siguiente:
[crayon-5bf56cf2e84bf039227410/] mas adelante veremos este ARN con los distintos servicios disponibles pero en el caso de las cuentas por ejemplo seria este:

Sabiendo que cada cuenta tiene un ID diferente: supongamos que mi cuenta Alfonso (root) tiene un ID 123456789012

arn:aws:iam::123456789012:root

un usuario que se llame Manolo dentro de mi organización sera:

arn:aws:iam::123456789012:user/Manolo

Esto es bueno saberlo por que mas adelante se vera como utilizar estos ARN para conceder acceso o crear URL personalizadas.

 

 

Alfonso López

Alfonso López

Instagram

AWS Certified Solutions Architect – Associate
Certified Information Security Manager.
MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
LPIC1 - SUSE SCA - MCSE
___________________________________________

!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src="http://platform.twitter.com/widgets.js";fjs.parentNode.insertBefore(js,fjs);}}(document,"script","twitter-wjs");
Alfonso López

Latest posts by Alfonso López (see all)

Animate a Comentar

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies