¿Cuál es la finalidad de AWS Identity and Access Management (IAM)?
Identity and Access Management (IAM) es un servicio que permite controlar los permisos que los usuarios y programas tienen para manipular la infraestructura de AWS. IAM utiliza utiliza conceptos tradicionales como usuarios, grupos y políticas de control de acceso para definir quien puede usar la cuenta de AQS, que servicios y recursos pueden utilizar y como pueden utilizarlos. El control provisto por IAM es suficientemente granular al punto de que se puede limitar a un usuario a una IP especifica durante un tiempo específico. Las aplicaciones pueden recibir permiso para acceder los recursos de AWS así estén instaladas en las instalaciones de la organización o en la nube. Esto brinda la posibilidad a los usuarios y aplicaciones de completar las necesidades de la empresa mientras cumplen los criterios de seguridad de su organización.
IAM no es Active Directory
IAM no es un sistema de almacenamiento/autorización para las aplicaciones del usuario. Los permisos asignados son exclusivamente para manipular la infraestructura de AWS.
Las aplicaciones se basan en sistemas Active Directory, estos pueden extenderse a la nube y continuar ahí su funcionamiento. Una opción para ello es AWS Active Directory Service, que es compatible con Active Directory y que se puede integrar con el directorio de en sus instalaciones.
Si lo que se requiere es autenticación para una app, una posibilidad es el uso de Amazon Cognito para identificar aplicaciones de móviles.
IAM no es un sistema de identificación para un Sistema Operativo
En el modelo compartido de responsabilidad de aws, el usuario tiene control del sistema operativo, la consola y la configuración. El mecanismo usado para controlar el acceso a la infraestructura continuara funcionando en las instancias, sin importar si es manejando a través de un login aislado o un servicio como Active Directory o Lightweight Directory Access Protocol (LDAP). Se puede ejecutar un servidor de Active Directory o LDAP en instancias de EC2, o extender los sistemas en la organización a la nube.
Tecnologías para Autenticación
- Sistemas Operativos (Active Directory, LDAP, Cuentas del SO),
- Acceso a Aplicaciones (Active Directory, Repositorios, Cognito).
- Recursos de AWS (IAM).
IAM es controlado como la mayoría de los servicios de AWS. Mediante la consola, CLI y la REST API (SDK).
Adicionalmente, el AWS Partner Network (APN) incluye una gama de herramientas de ecosistema para manejar y extender IAM.