IAM: Configuración Inicial. Camino a la Certificación AWS (2)

En este punto empezamos con puntos importantes y definiciones útiles para nuestra búsqueda de la certificación AWS.

Partamos por lo primordial:

AWS Regions

  • AWS tiene regiones por todo el mundo.
  • Cada región tiene zonas de disponibilidad. (us-east-1a, us-east-1b, etc.) estas son de la A a la F.
  • Representan data centers físicos en la región, pero separados unos de otros. (para que estén isolados en cualquier caso).
  • Las consolas de AWS tienen un alcance regional (con excepción de IAM y S3), esto quiere decir que cada vez que se hagan cambios o modificaciones, estas se harán en la región específica.

Entendiendo esto, podemos pasar a ver qué es IAM.

Introducción IAM

  • IAM: Identity and Access Management
  • Toda la seguridad de nuestro AWS irá en IAM:
    — Usuarios
    — Grupos
    — Roles
  • Existe una cuenta Root, que no debe ser nunca usada, esta es para crear cuentas AWS.
  • Los usuarios deben crearse con permisos apropiados
  • IAM es el centro de AWS.
  • Hay pólizas dentro de IAM, y están escritas en JSON.

¿Cómo visualizamos IAM en un nivel superior?

  • Usuarios: Generalmente es una persona física. Alguien que posea una cuenta en IAM.
  • Grupos: Los usuarios están agrupados. Pueden ser de cualquier tipo, pero usualmente existen por funciones, por ejemplo, admins, devops, etc. La idea de tener grupos es que hayan personas en él, y de esta forma los permisos asociados a un grupo serán heredados por los usuarios en él.
  • Roles: Son sólo para uso interno dentro de los recursos y servicios de AWS, por lo que los roles son dados a las máquinas.
  • Pólizas: Finalmente, las pólizas definen qué cosas pueden o no pueden hacer los usuarios, grupos y roles.
  • Como se dijo anteriormente, IAM tiene una vista global, es decir, cuando se crea un usuario, grupo o rol, esto será para todas las regiones.
  • IAM tiene pólizas predefinidas que se pueden utilizar.
  • La idea es darle a los usuarios los permisos mínimos para desarrollar su tarea.
  • Para empresas grandes, existe algo llamado IAM Federation, lo que permite esto es integrar su propio repositorio de usuarios como Active Directory, con IAM, permitiendo que se pueda acceder a AWS con las credenciales corporativas.
Cosas importantes
  • Sólo se debe asignar un usuario IAM por cada persona física.
  • Sólo se debe asignar un Rol IAM por aplicación. Cada app tiene su ciclo de vida, por lo que debe tener un rol separado.
  • Nunca usar la cuenta ROOT para algo que no sea la configuración inicial.
  • Nunca usar las credenciales ROOT IAM.

Manos a la obra!

Una vez estamos dentro de nuestra consola, es cosa de buscar IAM, y podremos acceder al módulo:

Lo primero que podemos visualizar es que está todo nuevo, es decir, tenemos cero usuarios, cero grupos y dos roles, que AWS crea para nosotros. Por otro lado, el estado de seguridad nos indica lo que debemos hacer para que nuestra cuenta esté segura, y esto es lo primero que debemos cambiar.

Eliminar las claves de acceso raíz

La cuenta root proporciona acceso a las cuentas AWS, y como se dijo anteriormente, NUNCA deberíamos usarlas, por lo que debemos borrarla.

Activar MFA en la cuenta Raíz

Lo siguiente es activar el MFA, por lo que abrimos el submenú y le damos a Administrar MFA

Aquí podemos activar el MFA (Multi-factor Authentication). Aquí puedes seleccionar si es un device virtual o de hardware, si es virtual, puedes usar una aplicación, como Google Authenticator. La idea de esto es crear una doble verificación que asegurará que tú y sólo tú con tu dispositivo personal puedes logearte con AWS.

Create Individual IAM Users

Ahora, en nuestro siguiente paso, necesitamos crear a nuestros usuarios IAM, y lo primero es crear a nuestro super user (recordando que el root nunca debe ser usado) :

Después viene la configuración de los permisos del usuario, en este caso usaremos las pólizas existentes y seleccionamos las que pertenecen a un súper usuario:

Vemos el resumen:

y creamos el usuario:

Aquí debemos descargarnos nuestro archivo.csv y guardarlo.

Ahora ya podremos loguearnos como nuestro super usuario, muy pronto, una vez terminemos con las configuraciones iniciales de IAM.

Use Groups to Assign Permissions

Este menú sirve para crear grupos para agrupar usuarios juntos.

En esta oportunidad crearemos el grupo Admin:


Y le asignamos permisos de Administración:


Y finalmente creamos el grupo. Este grupo tiene sus permisos propios, por lo que cada usuario que agreguemos va a heredar estos permisos de administración.

Para agregar un usuario, clickeamos en nuestro grupo:


Y le damos en Add Users to Group

Finalmente, seleccionamos nuestro usuario y queda listo en el grupo, heredando todos los permisos:

Lo que podemos hacer ahora, es ir a nuestros usuarios, y buscar a zalomon, y quitarle los permisos que le habíamos dado anteriormente, ya que de no ser así, es difícil gestionarlo correctamente. Para ello nos vamos al apartado Users

Y deshabilitamos el permiso que está como Attached Directly.

Apply an IAM password Policy

Esta opción es básicamente para especificar que los Usuarios creen passwords seguras y que sean cambiadas periódicamente. Así que si presionamos en esta opción:

Y con esto ya estamos listos con lo referente a la configuración inicial de IAM.

Creación de un Alias para Login y acceso de Usuario

Finalmente, en el dashboard podemos modificar el link de Sign-In de IAM:

Con esto listo, la URL para hacer login a la consola AWS es el siguiente: https://nullpointerexception-tech.signin.aws.amazon.com/console

Si nos vamos a una pestaña del navegador y abrimos el link nos abre el login:

Las credenciales son las que nos descargamos anteriormente en formato .csv y ya podremos cambiar la contraseña inicial:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: