Trabajando con IAM

Ximena Cardozo
Embajadora AWSomeWoman

! Gerente de Ciberseguridad y Privacidad

Nivel
100
Introductory
TRABAJANDO CON IAM

Introducción

La gestión de la identidades y gestión de accesos son partes clave de un

programa de seguridad de la información.

¿Porque?

- Se asegura de que solo los usuarios autenticados y autorizados puedan

acceder a los recursos de su cuenta de aws bajo los principios que cada
organización o persona defina.

- Al utilizar la gestión de identidades y acceso, se define quién tiene acceso a

qué recursos y se describe qué se puede hacer o no hacer con esos recursos.

En este evento, hablaremos acerca de IAM uno de los servicios de AWS nos
provee para operar la gestión de identidades y accesos.

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

AWS Identity & Access Management IAM

¡Primero lo primero, dos conceptos clave!

- Autenticación
- La autenticación es la capacidad de
demostrar que un usuario o una
aplicación es realmente quién dicha
persona o aplicación asegura ser.

- Autorización
- La autorización protege los recursos
importantes de un sistema, ya que
limita el acceso solamente a los
usuarios autorizados y a sus
aplicaciones. Impide que los recursos
se utilicen sin la autorización necesaria.

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

Buenas Prácticas usuario root

- Bloquear las claves de acceso de usuario root de la cuenta de AWS

- Asignar un segundo factor de autenticación, ojala de hardware

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

AWS Identity & Access Management IAM

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

Asignar permisos bajo el principio del mínimo privilegio

- Por políticas de AWS todo está denegado y los permisos deben otorgarse para
garantizar el acceso a los diferentes servicios y recursos.

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

Buenas Prácticas uso de Grupos

- Asignar permisos bajo el principio del mínimo privilegios

- Usar grupos para asignar permisos a usuarios de IAM
- Asignar permisos con políticas administradas* de AWS

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

AWS Identity & Access Management IAM

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

Buenas Prácticas uso de Roles

- Asignar permisos bajo el principio del mínimo privilegios

- Usar roles para aplicaciones que se ejecutan en instancias de Amazon EC2
- Eliminar credenciales innecesarias
- Control de acceso basado en atributos (ABAC)

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

AWS Identity & Access Management IAM

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

Políticas administradas aws

- Las políticas administradas de AWS están diseñadas para proporcionar

permisos para muchos casos de uso comunes, mientras los
administradores depuran y ajustan las políticas a las necesidades de la
organización.

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

Políticas administradas aws Casos de uso

- Mi primer usuario IAM Administrador : AdministratorAccess

- Usuario de facturación: Billing*
- Administrador de base de datos: DatabaseAdministrator
- Usuario desarrollador: PowerUserAccess
- Administrador de red: NetworkAdministrator
- Usuario de lectura: ViewOnlyAccess

*Requiere autorización previa del usuario root a los usuarios IAM

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

AWS Identity & Access Management IAM

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

Diferentes tipos de políticas y permisos

Sobre los servicios que funcionan con IAM* se pueden otorgar permisos a nivel de:
- Acciones (Actions)
- Permisos de nivel de recursos (Resource-level permissions)
- Políticas basadas en recursos (Resource-based policies)
- Autorización basada en etiquetas (Authorization based on tags)
- Credenciales temporalis (Temporary credentials)
- Roles vinculados a servicios (Service-linked roles)

*https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html
BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

Diferentes tipos de políticas y permisos

Identidad Recursos*
- Usuario - AWS SNS
- Grupo - AWS SQS
- Rol - AWS S3
- AWS KMS

*htps://aws.amazon.com/blogs/aws/aws-policy-generator/
BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

¿Pueden aparecer problemas?

Si tiene problemas de acceso denegado o dificultades similares cuando trabaja

con AWS Identity and Access Management (IAM), consulte los temas de esta
sección:

https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/troubleshoot.html

BOOTCAMP.INSTITUTE
TRABAJANDO CON IAM

Contenido Adicional
Servicio
- https://aws.amazon.com/iam/
Guía detallada de usuario
- https://docs.aws.amazon.com/IAM/latest/UserGuide
Mejores prácticas
- https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
Become an IAM Policy Ninja
- https://es.slideshare.net/AmazonWebServices/become-an-iam-policy-ninja
Acciones en EC2
- https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_Operations.html
Generador de políticas
- https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html
- https://aws.amazon.com/blogs/aws/aws-policy-generator/
- https://awspolicygen.s3.amazonaws.com/policygen.html

BOOTCAMP.INSTITUTE