Utilizando IAM (Ejemplo Práctico)

¿Cómo habilitar IAM (Identity Access Manager) en Amazon AWS?

1. Inicia sesión en tu consola AWS.
2. Da clic sobre el botón superior Services.
3. Dentro del bloque Identity & Security da clic sobre la opción IAM (Identity & Access Management).

IAM aplica para todas las regiones, no es restringido para una en específica.

¿Cómo personalizar la url de inicio de sesión en Amazon AWS?

Vamos a personalizar la url con la cual inicias sesión.

1. Da clic en la opción Customize que esta justo después del IAM users sign-in link.

Estas urls se comparten con los otros usuarios de AWS así que ten en cuenta que la dirección que pretendas usar puede estar ya en uso.

¿Cómo habilitar MFA (Multifactor Authentication) en Amazon IAM?

Ahora vamos a completar MFA (Multi Factor Authentication), que permite que utilices dispositivos como tu teléfono inteligente para iniciar sesión mediante un código que se genera al momento de proporcionar tus credenciales. Da clic sobre la opción Activate MFA on your root account.

1. Da clic sobre la opción Manage MFA.
2. Vamos a elegir la opción A virtual MFA device para poder utilizar nuestro smartphone.

La lista de aplicaciones para MFA es amplia, algunos son gratuitos y otros de paga, una opción sencilla y gratuita es usar Google Authenticator que esta disponible en Android y iOS.

3. Una vez instalado presiona next para continuar a la siguiente pantalla y aparecerá un QR Code, que es un código que se puede escanear para sincronizar AWS con tu teléfono, y así generar códigos cuando vayas a iniciar sesión. Abre tu aplicación y escanea el código de manera que se agregue de manera permanente a tu aplicación.

Posiblemente tendrás que ingresar 2 códigos para verificar que la sincronización se ha realizado de manera correcta.

4. Presiona Activate Virtual MFA para terminar la activación de MFA.

Toma en cuenta que aplicación Google Authenticator puede ser utilizada para identificarse con muchos servicios, así que cada vez que hagas uso de alguno debes de utilizar los códigos asociados a AWS.

¿Cómo crear un nuevo usuario en Amazon IAM?

1. Vamos a dar clic sobre la opción Create individual IAM users, al expandirse damos clic sobre la opción Manage Users.
2. En este momento no tenemos usuarios creados, así que damos clic en la opción Add User. Vamos a crear 3 usuarios (hugo, paco y luis).

Programatic Access permite a los usuarios echar mano de la API de AWS, mientras que AWS Management Console habilita la autenticación mediante la consola de aws.

3. Elegimos la opción Autogenerate Password que generará un password automáticamente y Users must create a new password ar next sign-in para forzar al usuario a cambiar la contraseña cuando inicie sesión por primera vez.

¿Cómo crear grupos en Amazon AWS IAM?

Ahora estamos en la ventana donde definimos permisos para hugo, paco y luis. Vamos a crear un nuevo grupo.

1. Damos clic en Create group y asignamos el nombre administradores.
2. En el campo de búsqueda, buscamos admin, asignamos el policy Administrator Access y lo palomeamos.

El rol Administrator Access provee acceso total al uso de la consola de AWS al nivel del root.

3. Damos clic sobre Create Group, Next Review y Create Users.

En este punto podemos revisar los usuarios creados así como sus credenciales.

¿Cómo asignar permisos a los grupos dentro de Amazon AWS IAM?

1. Damos clic en la opción Groups.
2. Después damos clic en la opción Create New Group.
3. Como nombre de grupo vamos a usar s3users, y presionamos Next Step y Create Group.

Política de manejo de contraseñas en Amazon AWS IAM

1. Dentro del Dashboard vamos a la opción Apply an IAM password policy, y Manage Pessword Policy.
2. Dentro de las opciones podemos ver que se pueden definir una combinación de características de seguridad.
3. Una vez elegida la combinación que creas necesaria presiona Apply password policy (Aplicar política de contraseñas) y la nueva política de contraseñas entrará en efecto.

¿Cómo asignar roles a usuarios y grupos en Amazon AWS IAM?

Los roles permiten a unos recursos acceder a otros recursos mediante el uso de credenciales en forma de llaves.

1. En el Dashboard vamos a elegir la opción Roles.
2. Elegimos el tipo de rol Amazon EC2.
3. Mediante el campo de búsqueda vamos a localizar el Policy AmazonS3FullAccess.
4. Finalmente como nombre de rol escribimos S3admin y damos clic en Create Role.

¿Cómo crear una alerta de cobros en Amazon AWS?

1. Damos clic en el menú desplegable que se muestra justo por debajo del nombre, elegimos la opción My Billing Dashboard.
2. Vamos a la sección Preferences.
3. Habilitamos la opción Receive Billing Alerts y damos clic sobre el link Manage Billing Alerts.
4. Damos clic sobre la opción Alarms > Billing.
5. Damos clic sobre Create Alarm.
6. Ahora completamos los valores:

exceed (cuando sobrepase el costo de…)

$10 USD

send a notification to (enviar una notificación a…)

[email protected]

7. Damos clic en Create Alarm.

Al final recibiremos un correo de confirmación para completar la subscripción.

Resumen de Amazon IAM

IAM consiste de los siguientes componentes:

• Users “Usuarios” .
• Groups “Grupos” (Una forma de agrupar usuarios y aplicarles políticas a todos de manera colectiva).
• Roles.
• Policy Documents “Documentos de Políticas”, como documentos json.
• IAM es universal, no aplica a una región en específica.
• La cuenta root se crea cuando se crea una cuenta de AWS, y esta tiene acceso a toda la consola de AWS.
• A los nuevos usuarios se les asigna un Access Key Id y un Secret Access Key cuando estos usuarios se crean. Estas credenciales son distintas a la contraseña y no pueden ser utilizadas para acceder a la consola de AWS, sin embargo si pueden ser utilizados para accesar la API de AWS y la linea de comandos.
• Las credenciales de estos usuarios solo se muestran cuando estas se crean, no se pueden recuperar, solo regenerar.
• Por seguridad siempre hay que habilitar MFA en la cuenta root.
• Los password rotation policies permiten definir una política de seguridad en el uso de las contraseñas.