🥇 Autorización.

El proceso de especificar exactamente que acciones un principal puede o no realizar es llamado autorization (autorización). Este es manejado en IAM definiendo privilegios específicos y politicas, y asociando estas politicas con los principals.

🍿 Policies

Una policy es un documento JSON que define un grupo de permisos para accesar y manipular recursos de AWS. Los policy documents contienen una o mas permisos, y cada permiso define.

"arn:sws:service:region:account-id:[resource-type:]resource"

Para algunos servicios, el asterisco es permitido; por ejemplo para S3 puede tener un resource nombreDelDirectorio* para indicar que todos los objetos que se encuentran en el folder.

🥤 ARNs.

🍿 Asociando Policies con Principals

Una policy puede ser asociada con un usuario de IAM de dos diferentes formas.

Utilizar managed policies asegura que cuando aparezcan nuevos permisos para nuevas características o funcionalidades, los usuarios seguiran manteniendo acceso correcto.

El otro método de asociacion de policies con usarios es a mediante los grupos. Los grupos simplifican el manejo de permisos para largos numeros de usuarios. Cuando una policy es asignada a un grupo, cualquier usuario que es un miembro de ese grupo asume esos permisos. Esto hace mas sencillo el asignar policies a un grupo completo en su organización.

Esta es una forma mas sencilla de manejar los procesos asociados a las policies, y de no tener que estar añadiendo manualmente estas policias a cada usuario.

Formas en las que un policy puede ser asociado a un grupo.

Como recomendación utilice la cuenta del root para crear un grupo llamado Administradores, y asignar la managed policy “IAMFullAcces”. Despues cree un nuevo usuario llamado Administrador, asignele un password y añadalo al grupo Administradores. En este punto, puede terminar la sesión del root y realizar las actividades futuras como administrador.

La ultima forma en que un actor puede asociarse a una policy es mediante un role. En este caso el actor puede.

Despues de que el usuario asumio el role, un token temporal es asignado y asociado con las policies del role. El token contiene información requerida para hacer llamadas a la API. Este token contiene el standard key ademas de un token adicional de sesion requerido para realizar llamadas con privilegios del role.

Autenticación (Authentication). Otras funcionalidades de IAM.
comments powered by Disqus