Usuarios, Grupos, Roles y Políticas en AWS

Usuarios, Grupos, Roles y Políticas en AWS

Ahora vamos a analizar los elementos que componen Identity Access Manager dentro de Amazon AWS.

Los usuarios IAM son usuarios a los cuales se les han concedido permisos para acceder a una cuenta de AWS. Esto quiere decir que si por ejemplo la compañía en la que trabajas te proporciona una cuenta en AWS, entonces esta cuenta es el usuario IAM de los muchos posibles a los que la compañía pudiese estar otorgando dichos privilegios.

¿Cuáles son los elementos que componen a un usuario en IAM?

  • Nombre de usuario (username).
  • Contraseña (password).
  • Permisos (permissions) para acceder a los servicios de AWS.

Si el usuario no tiene los permisos requeridos, no podrá acceder a los recursos de AWS que requiere. Esto se debe a que AWS opera bajo la premisa de otorgar la menos cantidad de permisos necesarios a un usuario para que este pueda completar una tarea.

Políticas (Policies)

Si por ejemplo tenemos el usuario David, este usuario desea acceder al bucket S3. Para ello tendríamos que crear una cuenta para David, y asignarle acceso mediante la consola. En este punto David no podría acceder a ningún recurso debido a que no tiene ningún permiso asociado. Para poder asignar permisos a un usuario AWS utiliza el concepto de Políticas (Policies). Si asignamos la policy AmazonS3FullAccess, entonces el usuario David ya podría tener acceso al bucket debido a que hemos asignado permisos totales para que pueda completar su tarea.

Grupos (Groups)

Ahora supongamos que existen miembros adicionales dentro del mismo grupo en donde trabaja David. Si creamos en esta ocasión una cuenta para Alicia sin asignarle ningún permiso. Alicia no podrá hacer uso del bucket, y si bien podemos repetir el mismo proceso de agregar la policy para Alicia, suponiendo que tuviéramos 100 empleados que son usuarios de AWS dentro de nuestra compañía, resultaría muy improductivo hacer el mismo proceso uno por uno. Para este caso podemos utilizar los grupos de usuarios en aws.

Si creamos un grupo llamado por ejemplo “contabilidad” y dentro de este asignamos la policy AmazonS3FullAccess, todos los usuarios asociados a este grupo heredaran de este los permisos que las policies les otorguen.

Si en algún momento alguno de estos miembros abandonase la empresa, basta eliminarlo del grupo para eliminar también todos sus permisos.

Roles

El concepto de roles en AWS se aplica cuando un servicio desea tener permisos de acceder a otro. Supongamos que generamos un reporte desde una instancia de EC2 (servidor), y este reporte se desea almacenar en un bucket de S3. Para este propósito, AWS provee roles. Citando el ejemplo si creamos un role y sobre este asignamos el permiso AmazonS3FullAccess, y después asignamos a la instancia de EC2 dicho role, esta instancia será capaz de realizar operaciones en el bucket de S3 utilizando la API (acceso programático).