🥇 Usuarios, Grupos, Roles y Politicas

Ahora vamos a analizar los elementos que componen Identity Access Manager dentro de Amazon AWS.

Los usuarios IAM son usuarios a los cuales se les han concedido permisos para acceder a una cuenta de AWS. Esto quiere decir que si por ejemplo la compañia en la que trabajas te proporciona una cuenta en AWS, entonces esta cuenta es el usuario IAM de los muchos posibles a los que la compañia pudiese estar otorgando dichos privilegos.

Cada usuario que existe en IAM se compone de tres elementos:

Si el usuario no tiene los permisos requeridos, no podrá acceder a los recursos de AWS que requiere. Esto se debe a que AWS opera bajo la premisa de otorgar la menos cantidad de permisos necesarios a un usuario para que este pueda completar una tarea.

🍿 Politicas (Policies)

Si por ejemplo tenemos el usuario David, este usuario desea acceder al bucket S3. Para ello tendriamos que crear una cuenta para David, y asignarle acceso mediante la consola. En este punto David no podría acceder a ningun recurso debido a que no tiene ningun permiso asociado. Para poder asignar permisos a un usuario AWS utiliza el concepto de Politicas (Policies). Si asignamos la policy AmazonS3FullAccess, entonces el usuario David ya podría tener acceso al bucket debido a que hemos asignado permisos totales para que pueda completar su tarea.

🍿 Grupos (Groups)

Ahora supongamos que existen miembros adicionales dentro del mismo grupo en donde trabaja David. Si creamos en esta ocasión una cuenta para Alicia sin asignarle ningun permiso. Alicia no podrá hacer uso del bucket, y si bien podemos repetir el mismo proceso de agregar la policy para Alicia, suponiendo que tuvieramos 100 empleados que son usuarios de AWS dentro de nuestra compañia, resultaría muy improductivo hacer el mismo proceso uno por uno. Para este caso podemos utilizar los grupos de usuarios en aws.

Si creamos un grupo llamado por ejemplo “contabilidad” y dentro de este asignamos la policy AmazonS3FullAccess, todos los usuarios asociados a este grupo heredaran de este los permisos que las policies les otorguen.

Si en algun momento alguno de estos miembros abandonase la empresa, basta eliminarlo del grupo para eliminar tambien todos sus permisos.

🍿 Roles

El concepto de roles en AWS se aplica cuando un servicio desea tener permisos de acceder a otro. Supongamos que generamos un reporte desde una instancia de EC2 (servidor), y este reporte se desea almacenar en un bukcet de S3. Para este propósito, AWS provee roles. Citando el ejemplo si creamos un role y sobre este asignamos el permiso AmazonS3FullAccess, y despues asignamos a la instancia de EC2 dicho role, esta instancia será capaz de realizar operaciones en el bucket de S3 utilizando la API (acceso programático).

Administrador de Identidad de Usuario, IAM (Identity Access Management)
comments powered by Disqus