Con IAM configuraremos los usuarios, grupos, permisos y roles que pueden acceder a los diferentes recursos de Amazon AWS.
- Usuarios: Se refiere a los usuarios finales (personas).
- Grupos: Un conjunto de usuarios agrupados que tienen los mismos permisos asignados a nivel de grupo.
- Roles: Permisos asociados a recursos de AWS. Por ejemplo, podemos definir un rol con acceso a S3 (almacenamiento) y asignar ese rol a una instancia para que ésta pueda acceder a S3 sin necesidad de contraseña. Podemos asignar roles a usuarios o grupos.
Desde el menú Dashboard podemos configurar la política de seguridad como, por ejemplo, acceso multifactor (confirmación de contraseña por código QR escaneado con el móvil), longitud de la contraseña, o configurar un enlace personalizado de acceso a la consola, entre otras cosas.
Creación de usuarios con IAM
A continuación crearemos un grupo de usuarios de administración de AWS con la política de acceso total (IAMFullAccess). Primeramente, crearemos el grupo “Admin”:
A continuación, crearemos el primer usuario que asignaremos al grupo de los administradores:
Los permisos que hemos añadido al grupo, han sido:
Como vemos, ya tenemos el usuario creado y asociado al grupo de administradores.
Podemos descargarnos la información del usuario en formato CSV, tal y como indica el botón que aparece en la pantalla.
Importantísimo que guardemos el campo “Secret Access Key” en un lugar seguro porque solamente podremos ver la clave la primera vez. Si la perdemos, la tendremos que volver a generar. Como estamos creando un documento de apuntes, la guardaré en este mismo documento, ya que más tarde la eliminaré y generaré una nueva:
Key ID: AKIAJET57XXQQYZ56EVQ
Secret key: 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
Esta clave sirve para hacer llamadas a la API de Amazon y nos será solicitada para acceder a algunos de los servicios de AWS. Cualquiera que conozca esta clave, tendrá acceso a nuestros recursos de AWS mediante llamadas a la API.
Destacar también, que el usuario tendrá que acceder a la consola con el enlace personalizado indicado en esta misma página: https://643618700956.signin.aws.amazon.com/console (ver captura de pantalla anterior).
Creación de claves de encriptación desde IAM
Las claves de encriptación que creemos desde la consola IAM de Amazon AWS las podremos utilizar para cifrar datos sensibles de nuestro entorno como, por ejemplo, las copias de seguridad que guardemos en un bucket S3.
Podemos crear nuestras propias claves de encriptación mediante la API o a través de la consola de AWS, tal y como indican en la documentación oficial.
Desde la consola de IAM, tenemos el menú Encryption Keys, desde donde crearemos nuestras claves.
Creo una nueva clave en Get Started Now y Create Key. Es importante en que selecciones la región en donde estás creando la clave.
Añadimos un alias y una descripción a la clave.
Etiquetamos la clave. Por ejemplo, si solamente la vamos a usar para servicios S3, podemos crear un el tag «Servicio» con valor «S3».
Definimos los permisos de la clave. Se puede utilizar para un usuario o asignarle un rol.
Indicamos qué usuarios o roles van a poder utilizar esta clave:
Para finalizar, podemos ver la plantilla JSON que hemos configurado. Nos podemos copiar el código y modificarlo a nuestro gusto para crear scripts automatizados de creación de claves.
Una vez creada la clave no la podremos eliminar, al menos, hasta dentro de siete días. Lo haremos desde el botón Action desde el mismo de menú de IAM.