Code & Cappuccino

¡Domina la Gestión de Políticas IAM en AWS con este Tutorial Práctico!

Escrito por

migagi

en

La Gestión de Identidad y Acceso (IAM) es el corazón de la seguridad en AWS. Comprender cómo funcionan las políticas y los permisos es fundamental para cualquier persona que trabaje con la nube de Amazon. En este tutorial, te guiaremos paso a paso a través de un escenario práctico en la Consola de AWS para que entiendas de primera mano cómo se aplican los permisos a los usuarios a través de grupos y políticas directas, y cómo se definen las políticas.

¿Qué aprenderás?

  • Cómo los permisos se heredan a través de grupos de usuarios y se aplican directamente a un usuario.
  • Cómo revocar y otorgar permisos de forma incremental.
  • A interpretar la estructura JSON de las políticas de IAM.
  • A crear tu propia política personalizada.

¡Manos a la Obra! Tu Tutorial Paso a Paso

Prerrequisitos

Antes de empezar, asegúrate de tener:

  • Acceso a una cuenta de AWS.
  • Un usuario de IAM con permisos de administrador (¡esencial para los cambios iniciales!).

Paso 1: Entendiendo tus Permisos Iniciales

  1. Inicia sesión en la Consola de AWS con tu usuario administrador (por ejemplo, «Miguel»).
  2. Ve al servicio IAM (Identity and Access Management).
  3. En el panel de navegación izquierdo, haz clic en Usuarios.
  4. Verifica que tu usuario (por ejemplo, «Miguel») es parte del grupo admin. Esto le otorga permisos de acceso de administrador a AWS. Como administrador, tu usuario puede ver y gestionar todos los usuarios de IAM.

Paso 2: Revocando Permisos de Administrador

¡Vamos a experimentar con los permisos!

  1. En el panel de navegación izquierdo de IAM, haz clic en Grupos de usuarios.
  2. Haz clic en el grupo admin.
  3. Busca tu usuario (por ejemplo, «Miguel») en la lista de usuarios del grupo.
  4. Selecciona tu usuario y haz clic en Eliminar usuario del grupo.
  5. Confirma la eliminación. Verificación: Intenta actualizar la página de «Usuarios» en IAM. Deberías ver un mensaje de «Acceso denegado» o «No tienes permiso para hacer iam:ListUsers«. ¡Esto confirma que al quitar el usuario del grupo admin, ha perdido sus permisos de administrador!

Paso 3: Adjuntando una Política de Sólo Lectura Directamente al Usuario

Ahora, le daremos permisos de lectura específicos.

  1. En el panel de navegación izquierdo de IAM, haz clic en Usuarios.
  2. Haz clic en tu usuario (por ejemplo, «Miguel»).
  3. En la pestaña «Permisos«, haz clic en Añadir permisos.
  4. Selecciona la opción Adjuntar políticas directamente.
  5. En la barra de búsqueda, escribe IAMReadOnlyAccess.
  6. Selecciona la política IAMReadOnlyAccess de la lista.
  7. Haz clic en Añadir permisos. Verificación: Vuelve a la página de «Usuarios» y actualízala. Ahora deberías poder ver la lista de usuarios (incluido tu propio usuario «Miguel»). ¡Esto demuestra que la política IAMReadOnlyAccess te permite leer información de IAM!

Paso 4: Probando el Acceso de Sólo Lectura

Intentemos una acción que requiera más que permisos de lectura.

  1. En el panel de navegación izquierdo de IAM, haz clic en Grupos de usuarios.
  2. Haz clic en Crear grupo.
  3. Asigna un nombre al grupo (por ejemplo, desarrolladores).
  4. Haz clic en Crear grupo. Observación: Deberías recibir un mensaje de error indicando que no tienes permiso para crear un grupo (por ejemplo, iam:CreateGroup). Esto confirma que, aunque tienes acceso de lectura, ¡no tienes permisos para modificar recursos en IAM!

Paso 5: Creando un Nuevo Grupo y Añadiendo el Usuario (Consideraciones Importantes)

Si el paso anterior falló por falta de permisos, tendrás que volver a añadir tu usuario al grupo admin temporalmente para poder crear este grupo. Luego, podrás quitarlo nuevamente si quieres seguir el flujo del tutorial. Para este paso, asumiremos que puedes crear el grupo.

  1. En el panel de navegación izquierdo de IAM, haz clic en Grupos de usuarios.
  2. Haz clic en Crear grupo.
  3. Asigna el nombre desarrolladores.
  4. En la sección «Añadir usuarios al grupo«, busca y selecciona tu usuario (por ejemplo, «Miguel»).
  5. En la sección «Adjuntar políticas de permisos«, puedes seleccionar cualquier política (por ejemplo, AlexaForBusiness). El objetivo es solo adjuntar una política para ver la herencia.
  6. Haz clic en Crear grupo.

Paso 6: Re-añadiendo el Usuario al Grupo admin

Para el resto de este tutorial, es útil que tu usuario tenga permisos de administrador de nuevo.

  1. En el panel de navegación izquierdo de IAM, haz clic en Grupos de usuarios.
  2. Haz clic en el grupo admin.
  3. Haz clic en Añadir usuarios al grupo.
  4. Busca y selecciona tu usuario (por ejemplo, «Miguel»).
  5. Haz clic en Añadir usuarios.

Paso 7: Revisando los Permisos Heredados del Usuario

¡Es hora de ver la magia de la herencia de permisos!

  1. En el panel de navegación izquierdo de IAM, haz clic en Usuarios.
  2. Haz clic en tu usuario (por ejemplo, «Miguel»).
  3. En la pestaña «Permisos«, deberías ver tres políticas de permisos adjuntas:
    • AdministratorAccess (heredado del grupo admin).
    • AlexaForBusiness (heredado del grupo desarrolladores).
    • IAMReadOnlyAccess (adjuntado directamente al usuario).

    Observación: Esto ilustra cómo un usuario puede heredar permisos de múltiples fuentes: grupos y políticas directas. ¡AWS combina todos los permisos para determinar el acceso final!

Paso 8: Entendiendo la Estructura de las Políticas: AdministratorAccess

Las políticas de IAM se definen en JSON. Vamos a explorar una política de administrador.

  1. En el panel de navegación izquierdo de IAM, haz clic en Políticas.
  2. Busca y haz clic en la política AdministratorAccess.
  3. En la pestaña «Permisos«, verás un resumen de los servicios y acciones permitidas.
  4. Haz clic en la pestaña JSON. Análisis del JSON: Observa el documento JSON. Debería tener una estructura similar a: 
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}
    • "Action": "*": Significa que se permite cualquier acción.
    • "Resource": "*": Significa que se permite en cualquier recurso.
    • "Effect": "Allow": Significa que la acción está permitida.

    Esta combinación (Action: *, Resource: *) es lo que otorga acceso completo de administrador.

Paso 9: Entendiendo la Estructura de las Políticas: IAMReadOnlyAccess

Ahora, veamos una política de sólo lectura.

  1. En el panel de navegación izquierdo de IAM, haz clic en Políticas.
  2. Busca y haz clic en la política IAMReadOnlyAccess.
  3. En la pestaña «Permisos«, verás un resumen de las acciones de IAM permitidas (List, Read).
  4. Haz clic en la pestaña JSON. Análisis del JSON: Observa el documento JSON. Debería tener una estructura similar a: 
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:Get*",
                "iam:List*",
                "iam:SimulateCustomPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Resource": "*"
        }
    ]
}
    • "Action": ["iam:Get*", "iam:List*"]: Las estrellas (*) actúan como comodines.
      • iam:Get* significa cualquier acción de IAM que comience con «Get» (por ejemplo, iam:GetUser, iam:GetGroup).
      • iam:List* significa cualquier acción de IAM que comience con «List» (por ejemplo, iam:ListUsers, iam:ListGroups).

    Esto permite ver y listar recursos de IAM, pero no modificarlos. ¡Es un ejemplo perfecto de cómo las políticas controlan el nivel de acceso!

Paso 10: Creando una Política Personalizada

¡Es hora de crear tu propia política desde cero!

  1. En el panel de navegación izquierdo de IAM, haz clic en Políticas.
  2. Haz clic en Crear política.
  3. Elige el Editor visual.
  4. Servicio: Busca y selecciona IAM.
  5. Acciones:
    • En la sección «Listado«, busca y selecciona ListUsers.
    • En la sección «Lectura«, busca y selecciona GetUser.
  6. Recursos: Selecciona «Todos los recursos» (o puedes especificar recursos si lo deseas para un control más granular).
  7. Haz clic en Siguiente: Etiquetas (opcional).
  8. Haz clic en Siguiente: Revisar.
  9. Nombre de la política: Asigna un nombre (por ejemplo, MyIAMPermissions).
  10. Descripción: (Opcional) Añade una descripción.
  11. Haz clic en Crear política. Verificación: Una vez creada, haz clic en tu nueva política MyIAMPermissions y ve a la pestaña JSON. Deberías ver que el JSON refleja las acciones iam:ListUsers y iam:GetUser permitidas en Resource: *. ¡Esta política ahora se puede adjuntar a usuarios o grupos para otorgar esos permisos específicos!

¡Hora de la Limpieza! (Opcional, pero Recomendado)

Es una buena práctica limpiar los recursos que creaste para evitar cargos innecesarios y mantener tu cuenta organizada.

  1. Eliminar el grupo desarrolladores:
    • En el panel de navegación izquierdo de IAM, haz clic en Grupos de usuarios.
    • Selecciona el grupo desarrolladores.
    • Haz clic en Eliminar grupo.
    • Confirma la eliminación.
  2. Eliminar la política IAMReadOnlyAccess adjuntada directamente al usuario:
    • En el panel de navegación izquierdo de IAM, haz clic en Usuarios.
    • Haz clic en tu usuario (por ejemplo, «Miguel»).
    • En la pestaña «Permisos«, busca la política IAMReadOnlyAccess.
    • Haz clic en el botón «X» o «Eliminar» junto a ella.
    • Confirma la eliminación.

    Verificación: Vuelve a la página de «Usuarios» y actualízala. Tu usuario «Miguel» ahora solo debería tener la política AdministratorAccess heredada del grupo admin.

¡Felicidades!

Has completado el tutorial de práctica de IAM en la Consola de AWS. Has aprendido a manipular permisos, entender la herencia de políticas y examinar la estructura JSON de las políticas de IAM. Esta base sólida te ayudará a construir una seguridad robusta para tus recursos en la nube.


Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Más entradas