ūüĒ• Utilizando IAM

‚ėÜ ¬ŅC√≥mo habilitar IAM (Identity Access Manager) en Amazon AWS?

  1. Inicia sesión en tu consola AWS.
  2. Da clic sobre el botón superior Services.
  3. Dentro del bloque Identity & Security da clic sobre la opción IAM (Identity & Access Management).

IAM aplica para todas las regiones, no es restringido para una en específica.

‚ėÜ ¬ŅC√≥mo personalizar la url de inicio de sesi√≥n en Amazon AWS?

Vamos a personalizar la url con la cual inicias sesión.

  1. Da clic en la opción Customize que esta justo después del IAM users sign-in link.

Estas urls se comparten con los otros usuarios de AWS así que ten en cuenta que la dirección que pretendas usar puede estar ya en uso.

‚ėÜ ¬ŅC√≥mo habilitar MFA (Multifactor Authentication) en Amazon IAM?

Ahora vamos a completar MFA (Multi Factor Authentication), que permite que utilices dispositivos como tu teléfono inteligente para iniciar sesión mediante un código que se genera al momento de proporcionar tus credenciales. Da clic sobre la opción Activate MFA on your root account.

  1. Da clic sobre la opción Manage MFA.
  2. Vamos a elegir la opción A virtual MFA device para poder utilizar nuestro smartphone.

La lista de aplicaciones para MFA es amplia, algunos son gratuitos y otros de paga, una opción sencilla y gratuita es usar Google Authenticator que esta disponible en Android y iOS.

  1. Una vez instalado presiona next para continuar a la siguiente pantalla y aparecerá un QR Code, que es un código que se puede escanear para sincronizar AWS con tu teléfono, y así generar códigos cuando vayas a iniciar sesión. Abre tu aplicación y escanea el código de manera que se agregue de manera permanente a tu aplicación.

Posiblemente tendrás que ingresar 2 códigos para verificar que la sincronización se ha realizado de manera correcta.

  1. Presiona Activate Virtual MFA para terminar la activación de MFA.

Toma en cuenta que aplicación Google Authenticator puede ser utilizada para identificarse con muchos servicios, así que cada vez que hagas uso de alguno debes de utilizar los códigos asociados a AWS.

‚ėÜ ¬ŅC√≥mo crear un nuevo usuario en Amazon IAM?

  1. Vamos a dar clic sobre la opción Create individual IAM users, al expandirse damos clic sobre la opción Manage Users.
  2. En este momento no tenemos usuarios creados, así que damos clic en la opción Add User. Vamos a crear 3 usuarios (hugo, paco y luis).

Programatic Access permite a los usuarios echar mano de la API de AWS, mientras que AWS Management Console habilita la autenticación mediante la consola de aws.

  1. Elegimos la opci√≥n Autogenerate Password que generar√° un password autom√°ticamente y Users must create a new password ar next sign-in para forzar al usuario a cambiar la contrase√Īa cuando inicie sesi√≥n por primera vez.

‚ėÜ ¬ŅC√≥mo crear grupos en Amazon AWS IAM?

Ahora estamos en la ventana donde definimos permisos para hugo, paco y luis. Vamos a crear un nuevo grupo.

  1. Damos clic en Create group y asignamos el nombre administradores.
  2. En el campo de b√ļsqueda, buscamos admin, asignamos el policy Administrator Access y lo palomeamos.

El rol Administrator Access provee acceso total al uso de la consola de AWS al nivel del root.

  1. Damos clic sobre Create Group, Next Review y Create Users.

En este punto podemos revisar los usuarios creados así como sus credenciales.

‚ėÜ ¬ŅC√≥mo asignar permisos a los grupos dentro de Amazon AWS IAM?

  1. Damos clic en la opción Groups.
  2. Después damos clic en la opción Create New Group.
  3. Como nombre de grupo vamos a usar s3users, y presionamos Next Step y Create Group.

‚ėÜ Pol√≠tica de manejo de contrase√Īas en Amazon AWS IAM

  1. Dentro del Dashboard vamos a la opción Apply an IAM password policy, y Manage Pessword Policy.
  2. Dentro de las opciones podemos ver que se pueden definir una combinación de características de seguridad.
  3. Una vez elegida la combinaci√≥n que creas necesaria presiona Apply password policy (Aplicar pol√≠tica de contrase√Īas) y la nueva pol√≠tica de contrase√Īas entrar√° en efecto.

‚ėÜ ¬ŅC√≥mo asignar roles a usuarios y grupos en Amazon AWS IAM?

Los roles permiten a unos recursos acceder a otros recursos mediante el uso de credenciales en forma de llaves.

  1. En el Dashboard vamos a elegir la opción Roles.
  2. Elegimos el tipo de rol Amazon EC2.
  3. Mediante el campo de b√ļsqueda vamos a localizar el Policy AmazonS3FullAccess.
  4. Finalmente como nombre de rol escribimos S3admin y damos clic en Create Role.

‚ėÜ ¬ŅC√≥mo crear una alerta de cobros en Amazon AWS?

  1. Damos clic en el men√ļ desplegable que se muestra justo por debajo del nombre, elegimos la opci√≥n My Billing Dashboard.
  2. Vamos a la sección Preferences.
  3. Habilitamos la opción Receive Billing Alerts y damos clic sobre el link Manage Billing Alerts.
  4. Damos clic sobre la opción Alarms > Billing.
  5. Damos clic sobre Create Alarm.
  6. Ahora completamos los valores:
exceed (cuando sobrepase el costo de…)
$10 USD
send a notification to (enviar una notificaci√≥n a…)
[email protected]
  1. Damos clic en Create Alarm.

Al final recibiremos un correo de confirmación para completar la subscripción.

‚ėÜ Resumen de Amazon IAM

IAM consiste de los siguientes componentes:

  • Users “Usuarios” .
  • Groups “Grupos” (Una forma de agrupar usuarios y aplicarles pol√≠ticas a todos de manera colectiva).
  • Roles.
  • Policy Documents “Documentos de Pol√≠ticas”, como documentos json.
  • IAM es universal, no aplica a una regi√≥n en espec√≠fica.
  • La cuenta root se crea cuando se crea una cuenta de AWS, y esta tiene acceso a toda la consola de AWS.
  • A los nuevos usuarios se les asigna un Access Key Id y un Secret Access Key cuando estos usuarios se crean. Estas credenciales son distintas a la contrase√Īa y no pueden ser utilizadas para acceder a la consola de AWS, sin embargo si pueden ser utilizados para accesar la API de AWS y la linea de comandos.
  • Las credenciales de estos usuarios solo se muestran cuando estas se crean, no se pueden recuperar, solo regenerar.
  • Por seguridad siempre hay que habilitar MFA en la cuenta root.
  • Los password rotation policies permiten definir una pol√≠tica de seguridad en el uso de las contrase√Īas.