IAM
Identity and Access Management
Última actualización
Identity and Access Management
Última actualización
AWS Identity and Access Management (IAM) proporciona un control de acceso detallado en todo AWS. Con IAM, se especifica quién puede acceder a qué servicios y recursos, y en qué condiciones. Con las políticas de IAM, administre los permisos de su personal y sus sistemas para garantizar los permisos de privilegios mínimos.
Cuando se crea por primera vez una Cuenta de AWS, se comienza con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta.
La comunicación entre el cliente (AWS CLI) a los servicios de Amazon, se hace por medio de JSON que consta de 4 partes importantes:
Efecto.
Acción.
Recurso.
Condición.
Un usuario de AWS Identity and Access Management (IAM) es una entidad que se crea en AWS para representar a la persona o a la aplicación que se utiliza para interactuar con AWS. Un usuario de AWS consta de un nombre y credenciales.
En AWS algunos de los usuarios son en realidad aplicaciones. Un usuario de IAM no tiene que representar a una persona real; puede crear un usuario de IAM para generar una clave de acceso para una aplicación que se ejecuta en la red de su empresa y necesita acceso a AWS.
Un grupo de usuarios de IAM es un conjunto de usuarios de IAM. Los grupos de usuarios le permiten especificar permisos para varios usuarios, lo que puede facilitar la administración de los permisos para dichos usuarios.
Por ejemplo, podría tener un grupo de usuarios denominado Admins y proporcionar a dicho grupo de usuarios los tipos de permisos que los administradores suelen necesitar. Un usuario de dicho grupo de usuarios dispone automáticamente de los permisos que tiene asignados el grupo de usuarios. Si un usuario nuevo se une a su organización y necesita privilegios de administrador, puede asignarle los permisos adecuados si lo agrega a dicho grupo de usuarios. Asimismo, si una persona cambia de trabajo dentro de su organización, en lugar de editar los permisos de dicho usuario, puede eliminarlo de los grupos de usuarios antiguos y agregarlo a los nuevos grupos de usuarios correspondientes.
Un rol de IAM es una identidad de IAM que puede crear en su cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM en que se trata de una identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol.
Puede utilizar roles para delegar el acceso a usuarios, aplicaciones o servicios que normalmente no tendrían acceso a los recursos de AWS.
Los casos de uso comunes para los roles de IAM incluyen:
Los usuarios que necesitan acceso temporal a ciertos recursos de la nube pueden asociarse con un rol de IAM que otorga permisos específicos.
Los servicios en la nube como EC2 o AWS Lambda que necesitan interactuar con ciertos recursos en la nube se pueden adjuntar con roles de IAM.
Las organizaciones que tienen proveedores de identidad (IdP) existentes, como Azure Active Directory (AD) u OpenID , pueden usar roles de IAM para otorgar acceso a la nube a los usuarios administrados por el IdP. Los usuarios existentes en un AD pueden simplemente asumir un rol para acceder a la nube sin tener cuentas de usuario en la nube.
Los usuarios o servicios de una cuenta en la nube pueden tener acceso entre cuentas a otra. Por ejemplo, suponga que un grupo de desarrolladores en la nube A necesita colaborar con los desarrolladores en la nube B mediante AWS CodeBuild . En ese caso, se puede crear un rol de IAM en la Nube B para otorgar acceso a los desarrolladores en la Nube A.
En caso de comprometer un Rol, dependiendo del tipo de entidad de confianza del mismo, se puede llegar a comprometer a 3ros
\
Consulte la página:
Los nombres de recursos de Amazon (ARN) identifican de forma exclusiva los recursos de AWS. Se requiere un ARN cuando sea preciso especificar un recurso de forma inequívoca para todo AWS, como en las políticas de IAM, las etiquetas de Amazon Relational Database Service (Amazon RDS) y las llamadas a la API.
Estructura de un arn:
Security Token Service o el servicio de token de seguridad de AWS sirve para crear y proporcionar a los usuarios de confianza credenciales de seguridad temporales que pueden controlar el acceso a sus recursos de AWS.
Devuelve un conjunto de credenciales de seguridad temporales que puede utilizar para acceder a los recursos de AWS a los que normalmente no tendría acceso. Estas credenciales temporales consisten en una ID de clave de acceso, una clave de acceso secreta y un token de seguridad. Por lo general, lo usa AssumeRole dentro de su cuenta o para el acceso entre cuentas
