Arquitectura en la Nube

Nivel-Explorador

Módulo 2

Unidad 1: Seguridad, Redes, Informática y Almacenamiento

En el amplio panorama de Amazon Web Services, (AWS, por sus siglas en inglés) la seguridad y

gestión eficiente de recursos son piedras angulares; es por eso que esta unidad tiene el propósito de

presentar tanto conceptos básicos al respecto, como la variedad de los servicios que ofrece AWS. Los

siguientes, son algunos de esos conceptos y varios servicios de AWS:

Modelo de Responsabilidad Compartida AWS: este marco es fundamental para establecer

prácticas de seguridad robustas en el entorno de la nube.

AWS IAM, por sus siglas en inglés: Identity and Access Management: este servicio permite un

control preciso del acceso a los recursos y las acciones que se pueden realizar en ellos. En este módulo se

explica cómo IAM proporciona una capa de seguridad fundamental en AWS.

Protección de una cuenta en AWS: contiene prácticas y herramientas para proteger una cuenta en

AWS, tales como la configuración de políticas de acceso y la monitorización de actividades inusuales.

Protección de datos en AWS: presta medidas de seguridad y servicios de AWS para proteger la

confidencialidad e integridad de la información almacenada en la nube.

Elastic Block Store, EBS, por sus siglas en inglés (Amazon EBS): proporciona almacenamiento

persistente para instancias EC2; en esta unidad se analiza cómo este servicio es esencial para garantizar la
integridad y disponibilidad de los datos.

Asimismo, se revisan conceptos básicos de red y se da cuenta de Amazon Virtual Private Cloud

(VPC, por sus siglas en inglés). Una comprensión sólida de estos conceptos es esencial para diseñar

arquitecturas seguras y eficientes; conceptos como Redes de VPC para tener una perspectiva amplia de la

forma en la que las redes de VPC permiten la segmentación y conexión de recursos en la nube, ofreciendo

un control granular sobre el tráfico y la seguridad. Esta unidad cuenta con información general sobre los

servicios de informática y Amazon EC2, (por sus siglas en inglés, Amazon Elastic Compute Cloud).

¡Bienvenidas y bienvenidos a aprender acerca de la arquitectura en la nube!

Contextualización de los Aprendizajes

En la actualidad la tecnología desempeña un papel fundamental en la mayoría de las operaciones

comerciales y empresariales, es así que la seguridad de los datos y la eficiencia en la gestión de recursos

son esenciales. En este contexto, Amazon Web Services (AWS) emerge como un líder indiscutible en la

oferta de servicios en la nube. Brinda una amplia gama de soluciones para el almacenamiento, la

computación entre muchas otras.

Es así entonces que, este módulo invita a los participantes a acercarse al amplio espectro de

servicios que ofrece AWS en los ámbitos de seguridad, redes e informática. Entender cómo funcionan los

servicios en la nube de AWS es fundamental para garantizar la integridad, confidencialidad y

disponibilidad de los datos en entornos en la nube.

 Unidad 1: Seguridad, Redes, Informática y Almacenamiento

1. Objetivos

● Reconocer el modelo de responsabilidad compartida

● Identificar la responsabilidad del cliente y de AWS

● Reconocer usuarios, grupos y roles de IAM

● Describir los diferentes tipos de credenciales de seguridad en IAM

● Identificar los pasos para proteger una nueva cuenta de AWS

● Explorar los usuarios y los grupos de IAM

● Reconocer cómo proteger los datos de AWS

● Reconocer los programas de conformidad de AWS

Competencias a desarrollar
● Comprender los conceptos fundamentales del modelo de responsabilidad compartida de

AWS.

● Identificar las áreas de responsabilidad del proveedor (AWS) y del cliente (usuario).

● Distinguir claramente las responsabilidades que recaen en el cliente y en AWS en el

contexto del modelo de responsabilidad compartida.

● Identificar y comprender el propósito de los usuarios, grupos y roles en AWS Identity and

Access Management (IAM).

● Comprender cómo se utilizan estos tipos de credenciales en diferentes contextos de

autenticación y autorización en AWS.

● Reconocer los pasos y las mejores prácticas para proteger una nueva cuenta de AWS desde

el momento de su creación.

● Identificar medidas de seguridad básicas, como la configuración de políticas de IAM, la

activación de la autenticación multifactor (MFA), la configuración de alertas de seguridad,

entre otros.

● Explorar y comprender cómo se gestionan usuarios y grupos en IAM a través de la consola

de administración de AWS.

● Reconocer las medidas de seguridad disponibles en AWS para proteger los datos, como el

cifrado, la gestión de claves, el control de acceso, etc.

● Identificar las mejores prácticas para proteger los datos en reposo y en tránsito en entornos

de AWS.
 Tiempo de Ejecución: 12 horas

Planteamiento de la lección Materiales

Lección 1: Introducción al Modelo de Responsabilidad simulador de políticas de IAM

Compartida de AWS

Objetivo de Aprendizaje: Comprender los conceptos básicos del Uso de un rol de IAM para

Modelo de Responsabilidad Compartida de AWS y su conceder permisos a

importancia en la seguridad de los servicios en la nube. aplicaciones que se ejecutan

en instancias de Amazon EC2.

Actividad: El mentor proporcionará una introducción al Modelo

de Responsabilidad Compartida de AWS, explicando los roles y demostración de IAM

responsabilidades tanto del proveedor (AWS) como del cliente

(usuario).

Se discutirán ejemplos concretos de cómo se aplica este modelo

en la práctica y cómo afecta a la seguridad y gestión de los

servicios en la nube. Tareas que requieren

credenciales de usuario raíz -

Lección 2: Definición de IAM y Demostración de IAM en AWS AWS Identity and Access

Objetivo de Aprendizaje: Familiarizarse con el servicio IAM de Management (amazon.com)

AWS y comprender cómo se utiliza para gestionar identidades y

accesos de forma segura en la plataforma. Configuración de IAM - AWS

Identity and Access

Actividad: Demostración grabada Management (amazon.com)

Los estudiantes verán una demostración grabada que muestra Configuración del acceso a

cómo navegar por la consola de administración de AWS y una API protegido por MFA -

configurar políticas de IAM. AWS Identity and Access

Se destacarán las características clave de IAM, como la creación Management (amazon.com)

de usuarios, grupos, roles y políticas, así como la asignación de

permisos. Integraciones y servicios

Laboratorio Práctico: Configuración de IAM en la Consola de admitidos de CloudTrail -

Administración de AWS AWS CloudTrail

Objetivo de Aprendizaje: Aplicar los conocimientos adquiridos (amazon.com)

sobre IAM en un entorno práctico mediante la configuración de

usuarios, grupos, roles y políticas en la consola de administración Creación de informes de

de AWS. costes y uso - Informes AWS

Cost and Usage Reports

Actividad: Laboratorio práctico (amazon.com)

Los estudiantes completarán una serie de tareas guiadas en la Habilitar todas las

consola de administración de AWS para configurar IAM. características en la

Esto incluirá la creación de usuarios, la asignación de políticas, la organización - AWS

creación de grupos y la asignación de usuarios a grupos, así como Organizations (amazon.com)

la configuración de roles.

Administración de políticas en

Lección 3: Protección de Datos en AWS y Trabajo para AWS Organizations - AWS

Garantizar la Conformidad Organizations (amazon.com)

Objetivo de Aprendizaje: Comprender cómo se protegen los datos

en AWS y cómo se trabaja para garantizar la conformidad con los Características | AWS Key

estándares de seguridad y regulaciones. Management Service (KMS) |

Amazon Web Services (AWS)

Actividad: Presentación y discusión en grupo

Conformidad con HIPAA –

Se presentarán las medidas de seguridad y las mejores prácticas Amazon Web Services (AWS)

para proteger los datos en AWS, como el cifrado, la gestión de

claves, y el cumplimiento de normativas. Documentación de AWS

Se discutirán los desafíos y estrategias para garantizar la WAF (amazon.com)

conformidad con estándares como GDPR, HIPAA, PCI-DSS,

entre otros. Cómo los servicios de AWS

usan AWS KMS - AWS Key

Lección 4: Servicios y Recursos de Seguridad Adicionales en Management Service

AWS (amazon.com)

Objetivo de Aprendizaje: Explorar los servicios y recursos de

seguridad adicionales disponibles en AWS para reforzar la

protección de los datos y los sistemas.

Cifrado de datos en tránsito -

Actividad: Presentación y estudio de caso Cifrado de datos de archivos

con Amazon Elastic File

Se presentarán servicios adicionales de seguridad en AWS, como System

AWS WAF (Web Application Firewall), AWS Shield, AWS

Security Hub, entre otros.

Se analizarán casos de uso y ejemplos de cómo estos servicios Programas de conformidad –

pueden ser utilizados para mejorar la seguridad en la nube. Amazon Web Services (AWS)

Revisión de Conocimientos
Servicios en el ámbito: Amazon
Objetivo de Aprendizaje: Evaluar la comprensión de los
Web Services (AWS)
conceptos clave abordados en la unidad.

RGPD – Amazon Web Services

Actividad: Cuestionario o Evaluación
(AWS)

Los estudiantes completarán un cuestionario o evaluación que

cubra los temas discutidos en el módulo, incluyendo el Modelo

de Responsabilidad Compartida, IAM, protección de datos,

conformidad y servicios de seguridad adicionales.

Esto ayudará a consolidar el aprendizaje y a identificar áreas de

mejora o conceptos que requieren mayor clarificación.

 Lección 1: Introducción al Modelo de responsabilidad compartida de AWS

Responsabilidad compartida

La seguridad y la conformidad son compartidas entre AWS y el cliente, lo que implica que ambos

tienen roles y responsabilidades definidos en el proceso. Este modelo de responsabilidad compartida busca

aliviar la carga operativa del cliente, permitiendo flexibilidad y control en la implementación de

soluciones en AWS. Se distingue entre la seguridad "de" la nube, manejada por AWS, y la seguridad "en"

la nube, en la cual el cliente tiene un papel activo.

AWS se encarga de la gestión y seguridad de la infraestructura subyacente, desde la capa de

virtualización hasta la seguridad física de las instalaciones. Esto incluye la protección del hardware,

software, redes e instalaciones que soportan los servicios en la nube de AWS.

 Por otro lado, el cliente es responsable del cifrado de datos en reposo y en tránsito, así como de

garantizar la seguridad de la red y la gestión segura de credenciales y accesos. Además, debe configurar

adecuadamente los grupos de seguridad y el sistema operativo en las instancias computacionales que

utiliza, incluyendo actualizaciones y parches de seguridad.

Seguridad de la nube

En el marco del modelo de responsabilidad compartida, AWS asume la responsabilidad de

salvaguardar la seguridad de la infraestructura en la nube.

Esto implica que AWS gestiona y controla todos los componentes, desde el sistema operativo en

el alojamiento bare metal hasta la capa de virtualización del hipervisor, y se extiende hasta la seguridad

física de las instalaciones en la que operan los servicios en la nube. En esencia, AWS se encarga de

proteger la infraestructura global que sostiene todos los servicios ofrecidos en su plataforma.

Las responsabilidades de AWS, incluye garantizar la seguridad física de los centros de datos

mediante medidas como el acceso controlado, la presencia de guardias de seguridad, la autenticación de

dos factores y la vigilancia por vídeo. Además, AWS se encarga de mantener la infraestructura de

hardware y software, que abarca desde servidores y dispositivos de almacenamiento hasta sistemas
operativos y software de virtualización. También es responsable de gestionar la infraestructura de red, que

incluye routers, switches, balanceadores de carga y firewalls, entre otros, y proporciona monitoreo

constante, protección contra intrusiones y redundancia en la infraestructura de red.

La seguridad de esta infraestructura es la máxima prioridad para AWS. Aunque los clientes no

tienen acceso directo a los centros de datos o las instalaciones de AWS, la empresa ofrece informes

exhaustivos de auditorías realizadas por terceros que certifican su conformidad con diversas normativas y

estándares de seguridad informática.

 Aunque AWS se encarga de salvaguardar y mantener la infraestructura en la nube, los

clientes tienen la responsabilidad de asegurar todo lo que implementan en ella. Esto abarca desde

los servicios de AWS que utilizan hasta las aplicaciones que están conectadas a la plataforma.

Las medidas de seguridad que deben tomar los clientes dependen de los servicios que utilicen y

de la complejidad de su sistema.

Entre las responsabilidades de los clientes se encuentran: la selección y protección del

sistema operativo de las instancias, la seguridad de las aplicaciones desplegadas en los recursos

de AWS, la configuración de los grupos de seguridad, el manejo de las configuraciones de

firewall y de red, y la gestión segura de las cuentas.

Cuando los clientes hacen uso de los servicios de AWS, mantienen el control total sobre

su contenido. Esto implica la gestión de los requisitos de seguridad de dicho contenido,

incluyendo qué datos se almacenan en AWS, qué servicios de la plataforma se utilizan con dicho
contenido, en qué ubicación geográfica se almacena, el formato y estructura del contenido, quién

tiene acceso y cómo se gestionan los derechos de acceso.

Los usuarios conservan el control sobre la implementación de medidas de seguridad para

proteger sus propios datos, entornos, aplicaciones, configuraciones de IAM y sistemas operativos.
 La infraestructura como servicio (IaaS) se refiere a aquellos servicios en la nube que

proporcionan los componentes básicos de TI, como redes configurables, máquinas virtuales o hardware

dedicado, y almacenamiento de datos. Estos servicios ofrecen al cliente un alto nivel de flexibilidad y

control sobre los recursos de TI, similares a los recursos informáticos tradicionales con los que muchos

departamentos de TI están familiarizados.

Los servicios de AWS, como Amazon EC2, pueden ser considerados como IaaS, lo que implica

que los clientes son responsables de configurar y administrar la seguridad. Esto incluye la gestión del

sistema operativo de las instancias EC2, la instalación y mantenimiento de software de aplicación, así

como la configuración de los grupos de seguridad proporcionados por AWS.

Por otro lado, la plataforma como servicio (PaaS) se refiere a servicios que eliminan la necesidad

de que los clientes administren la infraestructura subyacente, como hardware y sistemas operativos. En
lugar de eso, los clientes pueden enfocarse exclusivamente en la implementación y administración de

aplicaciones. AWS ofrece servicios como AWS Lambda y Amazon RDS que se pueden clasificar como

PaaS, ya que AWS gestiona la infraestructura, el sistema operativo y las plataformas. Los clientes sólo

necesitan acceder a los puntos de conexión para almacenar y recuperar datos.

Con los servicios PaaS, los clientes son responsables de administrar sus datos, organizar sus

recursos y aplicar permisos adecuados. Sin embargo, estos servicios son más gestionados por AWS en

comparación con los servicios IaaS. Por ejemplo, AWS se encarga de tareas de seguridad como la

aplicación de parches en la base de datos y el sistema operativo, la configuración del firewall y la

recuperación de desastres.
 El Software como Servicio (SaaS) se refiere a servicios que ofrecen software alojado de forma

centralizada y accesible generalmente a través de un navegador web, una aplicación móvil o una interfaz

de programación de aplicaciones (API). El modelo de licencia típico para estas ofertas es mediante

suscripción o pago por uso. Con el SaaS, los clientes no necesitan preocuparse por administrar la infrae<

Algunos servicios de AWS, como AWS Trusted Advisor, AWS Shield y Amazon Chime, pueden

clasificarse como ofertas de SaaS, dependiendo de sus características y funcionalidades.

AWS Trusted Advisor es una herramienta en línea que analiza el entorno de AWS de un cliente y

ofrece orientación y recomendaciones en tiempo real para ayudar en la provisión de recursos siguiendo las

mejores prácticas de AWS. Se ofrece como parte del plan de soporte de AWS, con ciertas características

gratuitas y otras disponibles para clientes de Business Support y Enterprise Support.

 AWS Shield es un servicio gestionado de protección contra ataques de denegación de servicio

distribuido (DDoS) diseñado para proteger las aplicaciones que se ejecutan en AWS. Ofrece detección

continua y mitigaciones automáticas que reducen el tiempo de inactividad y la latencia de las aplicaciones.

AWS Shield Advanced está disponible para todos los clientes, mientras que el acceso al equipo de

respuesta a DDoS requiere Business Support o Enterprise Support de AWS.

Amazon Chime es un servicio de comunicaciones que permite realizar reuniones, chats y llamadas

empresariales tanto dentro como fuera de la organización, todo a través de una sola aplicación. Se trata de

un servicio de comunicaciones de pago por uso, sin tarifas iniciales ni compromisos a largo plazo.
 En esta actividad impartida por el mentor, se le presentan dos situaciones. En cada

situación, se harán varias preguntas sobre quién es el responsable (AWS o el cliente) de

garantizar la seguridad del elemento en cuestión. El profesor dirigirá la clase en un análisis

de cada pregunta y revelará las respuestas correctas, una por una.

En este escenario, la responsabilidad de mantener la seguridad recae tanto en AWS

como en el cliente, dependiendo del servicio utilizado.

Para Amazon Simple Storage Service (Amazon S3), el cliente es responsable de

configurar y gestionar los permisos de acceso adecuados a los datos almacenados en S3, así
como de aplicar medidas de seguridad adicionales, como el cifrado de datos en reposo y en

tránsito.

En cuanto a la configuración de la nube virtual privada (VPC) con Amazon Virtual

Private Cloud (Amazon VPC), el cliente es responsable de definir las reglas de seguridad y

acceso en la VPC, incluyendo la configuración de grupos de seguridad y las subredes.

En el caso de la instancia EC2 y la instancia de base de datos de Oracle, la

responsabilidad varía dependiendo de si se ejecutan en una instancia EC2 estándar o en

Amazon RDS. Si son instancias EC2 estándar, el cliente es responsable de administrar el

sistema operativo invitado, aplicar parches de seguridad, mantener el software de

aplicación y configurar el firewall (grupo de seguridad) y las reglas de red. Sin embargo, si

la base de datos se ejecuta en Amazon RDS, AWS asume la responsabilidad de la

administración de la base de datos, incluyendo el aprovisionamiento, las copias de

seguridad, los parches de software, el monitoreo y el escalado de hardware.

Consulte las prácticas recomendadas para ejecutar la base de datos de Oracle en AWS.
 En este escenario adicional, la responsabilidad de mantener la seguridad recae tanto en AWS

como en el cliente, dependiendo del servicio utilizado y las acciones realizadas.

Para el almacenamiento de datos en Amazon S3, el cliente es responsable de configurar

adecuadamente los permisos de acceso a los datos almacenados y de aplicar medidas de seguridad, como

el cifrado de datos en reposo y en tránsito.

En cuanto a la configuración de la nube virtual privada (VPC) con Amazon VPC, el cliente es

responsable de definir las reglas de seguridad y acceso en la VPC, incluyendo la configuración de

subredes y la gateway de Internet para permitir el acceso al servidor web.

Para la instancia EC2 que ejecuta el servidor web, el cliente es responsable de administrar el

sistema operativo, aplicar parches de seguridad, mantener el software del servidor web actualizado y

configurar los mecanismos de seguridad como las claves SSH para acceder al servidor.
 En resumen, el cliente tiene la responsabilidad de garantizar la seguridad de los datos

almacenados en S3, configurar correctamente la VPC y mantener seguro el servidor web en la instancia

EC2. AWS, por su parte, proporciona herramientas y servicios para ayudar al cliente a implementar

prácticas de seguridad sólidas y proteger su entorno en la nube.

 Estos son algunos de los aprendizajes clave de esta lección:

• AWS y el cliente comparten responsabilidades en materia de seguridad:

• AWS es responsable de la seguridad de la nube.

• El cliente es responsable de la seguridad en la nube.

• AWS es responsable de proteger la infraestructura (incluido el hardware, el

software, las redes y las instalaciones) que ejecuta los servicios en la nube de AWS.

• En el caso de los servicios clasificados como infraestructura como servicio (IaaS), el

cliente es responsable de realizar las tareas de configuración y administración de

seguridad necesarias.

• Por ejemplo, actualizaciones del sistema operativo invitado y configuraciones

de parches de seguridad, firewall y grupos de seguridad.

 Lección 2: AWS Identity and Access Management (o IAM)

AWS Identity and Access Management (IAM) es una herramienta que permite

controlar quién tiene acceso a los diferentes servicios y recursos en la nube de AWS. Con IAM,

puede gestionar la autenticación de usuarios y aplicar políticas de autorización para determinar

qué acciones pueden realizar esos usuarios en cada servicio.

IAM centraliza la gestión del acceso, lo que significa que puede controlar quién puede

iniciar, configurar, administrar y finalizar recursos dentro de su cuenta de AWS. Ofrece un

control detallado sobre qué recursos pueden ser accedidos y qué acciones pueden ser realizadas

en ellos, incluso especificando qué llamadas a la API pueden ser realizadas por cada usuario.
 Independientemente de si está utilizando la consola de administración de AWS, la CLI de

AWS o los SDK de AWS, cada interacción con un servicio de AWS se realiza a través de la API.

IAM le permite gestionar quién puede acceder a qué recursos y de qué manera pueden acceder a

ellos.

Con IAM, puede otorgar diferentes niveles de permisos a diferentes usuarios para

diferentes recursos. Por ejemplo, puede permitir que algunos usuarios tengan control total sobre

una amplia gama de servicios de AWS, mientras que restringe a otros a solo lectura en

determinados recursos, como buckets de Amazon S3. También puede conceder permisos para

administrar instancias EC2 específicas o para acceder únicamente a la información de facturación

de la cuenta.

Lo mejor de todo es que IAM es una característica incluida en su cuenta de AWS, sin

costos adicionales.
 Para entender cómo emplear IAM para proteger su cuenta de AWS, es crucial comprender el

propósito y la función de cada uno de los cuatro componentes de IAM.

Un usuario IAM representa una persona o aplicación identificada en una cuenta de AWS que

necesita interactuar con los productos de AWS a través de llamadas a la API. Cada usuario debe tener un

nombre único dentro de la cuenta de AWS y un conjunto exclusivo de credenciales de seguridad que no se

comparten con otros usuarios. Estas credenciales son distintas de las credenciales de seguridad de la

cuenta raíz de AWS. Cada usuario se define únicamente en una cuenta de AWS.

Un grupo IAM es una colección de usuarios IAM. Los grupos de IAM se emplean para simplificar

la gestión y definición de permisos para varios usuarios.

Una política IAM es un documento que establece los permisos necesarios para determinar las

acciones que los usuarios pueden realizar en la cuenta de AWS. Por lo general, una política otorga acceso

a recursos específicos y especifica las acciones permitidas sobre dichos recursos. También es posible que

las políticas nieguen explícitamente ciertos accesos.

Un rol IAM es una herramienta utilizada para otorgar acceso temporal a recursos específicos de

AWS dentro de una cuenta de AWS.

 La autenticación es un principio fundamental en seguridad informática, en ésta un usuario o

sistema debe validar su identidad antes de acceder a recursos protegidos. Puede compararse con el proceso

de identificación que se realiza en un aeropuerto antes de pasar por el área de seguridad para abordar un

vuelo. En ese caso, es necesario presentar una identificación al oficial de seguridad para demostrar quién

es antes de ingresar a una zona restringida. De manera similar, se aplica un concepto análogo para acceder

a los recursos de AWS en la nube.

Al configurar un usuario IAM, se decide qué tipo de acceso tendrá ese usuario para interactuar

con los recursos de AWS. Hay dos tipos de acceso que se pueden asignar: acceso mediante programación

y acceso a la consola de administración de AWS. Puede otorgar sólo acceso mediante programación, sólo

acceso a la consola o ambos tipos de acceso a los usuarios.

 Si se otorga acceso mediante programación, el usuario IAM debe proporcionar un ID de clave de

acceso y una clave de acceso secreta al realizar llamadas a la API de AWS a través de la CLI de AWS, el

SDK de AWS u otras herramientas de desarrollo.

Si se otorga acceso a la consola de administración de AWS, el usuario IAM debe completar los

campos requeridos en la ventana de inicio de sesión del navegador. Se le pedirá al usuario que ingrese el

ID de cuenta de 12 dígitos o el alias de cuenta correspondiente, junto con su nombre de usuario y

contraseña de IAM. Si la autenticación multifactor (MFA) está habilitada para el usuario, también se le

solicitará un código adicional de autenticación.

 Los servicios y recursos de AWS pueden ser accesados a través de varias herramientas,

como la consola de administración de AWS, la línea de comandos de AWS (CLI) o mediante los

kits de desarrollo de software (SDK) y las interfaces de programación de aplicaciones (API).

Como medida adicional de seguridad, se recomienda activar la autenticación multifactor (MFA).

La autenticación multifactor (MFA) requiere que los usuarios y los sistemas generen un

código adicional (junto con las credenciales de inicio de sesión regulares) para acceder a los

servicios y recursos de AWS. Este código adicional, conocido como token de MFA, es creado

por una aplicación de autenticación virtual (como Google Authenticator o Authy 2-Factor

Authentication), dispositivos de clave de seguridad U2F o dispositivos físicos de MFA.

Habilitar MFA proporciona una capa adicional de seguridad al requerir un segundo factor

de autenticación, lo que dificulta el acceso no autorizado a los recursos de AWS, incluso si las

credenciales de inicio de sesión normales están comprometidas.

 l

La autorización implica determinar qué acciones específicas están permitidas para un usuario,

servicio o aplicación después de que han sido autenticados. Una vez que un usuario ha sido verificado

como legítimo, se le debe otorgar autorización para acceder a los servicios de AWS.

Por defecto, los usuarios de IAM no tienen acceso automático a los recursos o datos en una cuenta

de AWS. Es necesario otorgar permisos de manera explícita a un usuario, grupo o rol mediante la creación

de una política. Una política es un documento en formato JavaScript Object Notation (JSON) que enumera

los permisos concedidos o denegados para acceder a los recursos en la cuenta de AWS.
 Para otorgar permisos a un usuario, grupo o rol en AWS, es necesario crear una política de IAM o

utilizar una política existente en la cuenta. No hay permisos predefinidos, por lo que todas las acciones en

la cuenta se consideran denegadas por defecto (denegación implícita), a menos que se permita

explícitamente. Cualquier acción que no esté permitida explícitamente será denegada automáticamente.

Además, cualquier acción que se niegue explícitamente siempre será rechazada.

El principio de mínimo privilegio es fundamental en seguridad informática. Este principio sugiere

otorgar sólo los privilegios necesarios para que un usuario realice sus tareas, basándose en sus necesidades

específicas. Al crear políticas de IAM, se recomienda seguir este enfoque de seguridad para conceder los

privilegios mínimos necesarios. Se debe identificar las tareas requeridas por los usuarios y elaborar

políticas que les permitan llevar a cabo únicamente esas tareas. Es preferible comenzar con un conjunto
mínimo de permisos y otorgar permisos adicionales según sea necesario, en lugar de comenzar con

permisos demasiado amplios y luego intentar restringirlos.

Es importante tener en cuenta que las configuraciones de IAM tienen un alcance global, lo que

significa que se aplican en todas las regiones de AWS y no se limitan a una región específica.
Una política de IAM es una instrucción formal de permisos que se concederá a una entidad.

Las políticas se pueden asociar a cualquier entidad de IAM. Las entidades incluyen

usuarios, grupos, roles o recursos. Por ejemplo, puede asociar una política a sus recursos de

AWS para bloquear todas las solicitudes que no provengan de un rango de direcciones de

protocolo de Internet (IP) aprobado. Las políticas especifican cuáles son las acciones

permitidas, cuáles son los recursos a los que estas tienen permiso y cuál será el efecto

cuando el usuario solicite acceso a los recursos.

El orden en que se evalúan las políticas no modifica el resultado de la evaluación. Se

evalúan todas las políticas y el resultado es siempre el permiso o la denegación de la

solicitud. Cuando hay un conflicto, se aplica la política más restrictiva.

Hay dos tipos de políticas de IAM. Las políticas basadas en identidad son políticas de

permisos que puede asociar a una entidad principal (o identidad), como por ejemplo un

usuario, rol o grupo de IAM. Estas políticas controlan qué acciones puede realizar dicha

identidad, en qué recursos y en qué condiciones. Las políticas basadas en identidad se

pueden clasificar del siguiente modo:

• Políticas administradas: políticas independientes basadas en identidad que puede

asociar a varios usuarios, grupos y roles en su cuenta de AWS.

• Políticas insertadas: políticas que crea y administra y que están insertadas

directamente en un único usuario, grupo o rol.

 Las políticas basadas en recursos son documentos de política JSON que se pueden

asociar a un recurso como, por ejemplo, un bucket de S3. Estas políticas controlan qué

acciones puede realizar una entidad principal especificada en dicho recurso y en qué

condiciones.

Como se mencionó anteriormente, las políticas de IAM se redactan utilizando el formato JSON.

El ejemplo de política de IAM que se proporciona otorga a los usuarios acceso restringido a los siguientes

recursos específicos:

● Una tabla en DynamoDB, cuyo nombre está representado por "table-name".

 ● Un bucket de S3 en la cuenta de AWS, cuyo nombre está representado por "bucket-name", y todos

los objetos contenidos en él.

Además, esta política de IAM incluye una declaración de denegación explícita con el efecto "Deny". La

inclusión del elemento "NotResource" garantiza que los usuarios no puedan acceder a ninguna otra acción

o recurso en DynamoDB o S3 que no esté especificado en la política, incluso si se les conceden permisos

mediante otra política. En el sistema de IAM, una instrucción de denegación explícita siempre tiene

prioridad sobre una instrucción de permiso.

Aunque las políticas basadas en identidad están asociadas a un usuario, grupo o rol, las

políticas basadas en recursos se asocian a un recurso, como un bucket de S3. Estas

políticas especifican quién puede obtener acceso al recurso y qué acciones pueden realizar

en él.

Las políticas basadas en recursos se definen únicamente de forma directa, lo que significa

que usted define la política en el propio recurso, en lugar de crear un documento de política

de IAM independiente. Por ejemplo, para crear una política de bucket de S3 (un tipo de

política basada en recurso) en un bucket de S3, vaya al bucket, haga clic en la pestaña

Permissions (Permisos), haga clic en el botón Bucket Policy (Política de bucket) y defina
allí el documento de política con formato JSON. Una lista de control de acceso (ACL) de

Amazon S3 es otro ejemplo de una política basada en recursos.

El diagrama muestra dos formas diferentes en las que se podría conceder acceso al usuario

MaryMajor a objetos en el bucket de S3 denominado photos. A la izquierda, puede ver un

ejemplo de una política basada en identidad. Una política de IAM que concede acceso al

bucket de S3 se asocia al usuario MaryMajor. A la derecha, puede ver un ejemplo de una

política basada en recursos. La política de bucket de S3 para el bucket photos especifica

que el usuario MaryMajor tiene permiso para enumerar y leer los objetos del bucket.
 Las políticas de IAM permiten ajustar los privilegios que se conceden a los

usuarios, grupos y funciones de IAM.

Cuando IAM determina si se concede un permiso, IAM comprueba primero la

existencia de cualquier política de denegación explícita aplicable. Si no existe ninguna

denegación explícita, comprueba si existe alguna política de permisos explícitos

aplicable. Si no existe una política de denegación explícita ni de permiso explícito, IAM

vuelve a la forma predeterminada, que consiste en negar el acceso. Este proceso se

denomina denegación implícita. El usuario solo podrá realizar la acción si la acción

solicitada no está denegada de forma explícita y está permitida de forma explícita.

 Puede ser difícil descubrir si el acceso a un recurso se concederá a una entidad de

IAM cuando desarrolle políticas de IAM. El simulador de políticas de IAM es una

herramienta útil para probar y solucionar problemas de políticas de IAM.

Un grupo de IAM consiste en un conjunto de usuarios de IAM. Estos grupos proporcionan una

manera práctica de asignar permisos a varios usuarios, simplificando así la gestión de los

permisos para este conjunto de usuarios.

Por ejemplo, podrías establecer un grupo de IAM llamado "Desarrolladores" y asociar una o

varias políticas de IAM a este grupo para conceder los permisos necesarios para acceder a los

recursos de AWS que normalmente requieren los desarrolladores.

Cuando añades un usuario al grupo "Desarrolladores", automáticamente heredará los permisos

asignados al grupo. Esto significa que no es necesario asignar directamente políticas de IAM a

cada usuario individualmente. Si un nuevo empleado se une a tu organización y necesita permisos

de desarrollador, simplemente lo agregas al grupo "Desarrolladores". De manera similar, si un

empleado cambia de función dentro de tu organización, en lugar de editar los permisos de ese

usuario, solo necesitas eliminarlo del grupo correspondiente.

Algunas características importantes de los grupos de IAM son:

● Un grupo puede contener múltiples usuarios, y un usuario puede pertenecer a varios

grupos.

● Los grupos no pueden ser anidados. Esto significa que un grupo solo puede contener

usuarios y no puede incluir otros grupos dentro de él.

● No existe un grupo predefinido que incluya automáticamente a todos los usuarios de la

cuenta de AWS. Si deseas crear un grupo que incluya a todos los usuarios de la cuenta,

debes crearlo tú mismo y agregar a cada usuario nuevo manualmente.

 Un rol de IAM es una identidad de IAM que se puede crear en su cuenta y que

tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM porque

también es una identidad de AWS a la que puede asociar políticas de permisos y esos

permisos determinan lo que la identidad puede hacer y lo que no en AWS. Sin embargo, en

lugar de estar asociada únicamente a una persona, el objetivo es que pueda asignarse un rol

a cualquier persona que lo necesite. Además, un rol no tiene asociadas credenciales

estándar a largo plazo, como una contraseña o claves de acceso. En su lugar, cuando se

asume un rol, este le proporciona credenciales de seguridad temporales para la sesión de

rol.

Puede utilizar roles para delegar el acceso a usuarios, aplicaciones o servicios

que normalmente no tendrían acceso a los recursos de AWS. Por ejemplo, es posible que

desee conceder acceso a los usuarios de su cuenta de AWS a los recursos que no suelen
tener o conceder acceso a los usuarios de una cuenta de AWS a los recursos de otra

cuenta.

También puede que quiera permitir que una aplicación móvil utilice los recursos de

AWS, pero no desea integrar las claves de AWS en la aplicación (donde serían difíciles de

rotar y donde los usuarios pueden potencialmente extraerlas y usarlas de forma

incorrecta).

Además, a veces es posible que desee conceder acceso a AWS a los usuarios que ya

tienen
 identidades definidas fuera de AWS, como en su directorio corporativo. O bien, es

posible que quiera conceder acceso a su cuenta a terceros para que puedan realizar una

auditoría en los recursos.

En todos estos casos de uso de ejemplo, los roles de IAM son un componente

esencial en la implementación en la nube.

En el diagrama, un desarrollador ejecuta una aplicación en una instancia EC2 que

requiere acceso al bucket de S3 denominado photos. Un administrador crea el rol de IAM y

lo asocia a la instancia EC2. El rol incluye una política de permisos que otorga acceso de

solo lectura al bucket de S3 especificado. También incluye una política de confianza que

permite a la instancia EC2 asumir el rol y obtener las credenciales temporales. Cuando la
aplicación se ejecuta en la instancia, puede utilizar las credenciales temporales del rol para

obtener acceso al bucket photos. El administrador no necesita conceder permiso al

desarrollador de la aplicación para obtener acceso al bucket photos y el desarrollador nunca

necesita compartir ni administrar las credenciales.

Para obtener más información acerca de este ejemplo, consulte Uso de un rol de IAM

para conceder permisos a aplicaciones que se ejecutan en instancias de Amazon EC2.

Estos son algunos de los aprendizajes clave de esta lección 1:

Las políticas de IAM se crean con la notación de objetos JavaScript (JSON) y definen

permisos.

• Las políticas de IAM se pueden asociar a cualquier entidad de IAM.

• Las entidades son usuarios de IAM, grupos de IAM y roles de IAM.

• Un usuario de IAM permite que una persona, aplicación o servicio pueda autenticarse

en AWS.

• Un grupo de IAM permite asociar las mismas políticas a varios usuarios de una

manera sencilla.

• Un rol de IAM puede tener asociadas políticas de permisos y se puede utilizar

para delegar acceso temporal a usuarios o aplicaciones.

 Ahora, dedique un momento a ver la demostración de IAM. La grabación dura

poco más de 4 minutos y refuerza muchos de los conceptos que se han tratado en esta

lección 1 del módulo 2.

En la demostración, se muestra cómo configurar los siguientes recursos mediante la

consola de administración de AWS:

• Un rol de IAM que utilizará una instancia EC2

• Un grupo de IAM

• Un usuario de IAM
 Lección 3: Protección de una cuenta nueva de AWS

Cuando se crea una cuenta de AWS por primera vez, se crea automáticamente una identidad de

inicio de sesión conocida como usuario raíz de la cuenta. Esta identidad tiene acceso total a todos los

servicios y recursos de AWS en esa cuenta. Para acceder a esta cuenta raíz, se utiliza la dirección de

correo electrónico y la contraseña utilizadas durante la creación de la cuenta al iniciar sesión en la consola

de administración de AWS.

Sin embargo, es importante destacar que AWS recomienda evitar el uso de las credenciales del

usuario raíz para las actividades diarias de la cuenta. En su lugar, se aconseja utilizar AWS Identity and

Access Management (IAM) para crear usuarios adicionales y asignar permisos específicos a cada usuario,
siguiendo el principio de mínimo privilegio. Por ejemplo, si se requieren permisos de administrador, es

preferible crear un usuario IAM, asignarle acceso total y utilizar esas credenciales para las interacciones

con la cuenta. De esta manera, si es necesario modificar o revocar los permisos en el futuro, se pueden

hacer cambios específicamente en las políticas asociadas a ese usuario IAM.

Además, si hay varios usuarios que necesitan acceso a la cuenta, se pueden crear credenciales

únicas para cada uno de ellos y definir detalladamente qué recursos pueden acceder. Por ejemplo, se

pueden crear usuarios IAM con permisos de solo lectura para ciertos recursos y distribuir esas

credenciales solo a los usuarios que necesitan ese nivel de acceso. Es fundamental evitar compartir las

mismas credenciales entre varios usuarios para mantener un control de acceso seguro y bien administrado.

Aunque el usuario raíz de la cuenta no debe utilizarse para tareas rutinarias, hay

algunas tareas que solo se pueden cumplir iniciando sesión como usuario raíz de la cuenta.

Puede encontrar una lista completa de estas tareas en la página de documentación de AWS.
Para dejar de utilizar el usuario raíz de la cuenta, siga los siguientes pasos:

1. Cuando haya iniciado sesión en el usuario raíz de la cuenta, cree un usuario de IAM

para usted con el acceso a la consola de administración de AWS habilitado (pero

todavía no asocie ningún permiso al usuario). Guarde las claves de acceso de usuario

de IAM si es necesario.

2. A continuación, cree un grupo de IAM, asígnele un nombre (como FullAccess) y

asocie políticas de IAM al grupo que conceda acceso completo a al menos unos

pocos de los servicios que utilizará. Luego, agregue al usuario de IAM al grupo.

3. Deshabilite y elimine las claves de acceso de usuario raíz de la cuenta, en caso de

que existan.
4. Habilite una política de contraseñas para todos los usuarios. Copie el enlace de inicio

de sesión de los usuarios de IAM desde la página del panel de IAM. A continuación,

cierre la sesión como usuario raíz de la cuenta.

5. Vaya al enlace de inicio de sesión de los usuarios de IAM que copió e inicie sesión

en la cuenta con las nuevas credenciales de usuario de IAM.

6. Guarde las credenciales de usuario raíz de la cuenta en un lugar seguro.

Para ver instrucciones detalladas sobre cómo configurar su primer usuario y grupo de IAM,

consulte Creación del primer grupo y usuario administrador de IAM

 Otro paso importante para fortalecer la seguridad de una nueva cuenta de AWS es

habilitar la Autenticación Multifactor (MFA), tanto para el usuario raíz de la cuenta como

para todos los demás usuarios de IAM. La MFA requiere un segundo factor de

autenticación además de la contraseña estándar, lo que añade una capa adicional de

seguridad. Además, la MFA puede ser utilizada para controlar el acceso a través de

métodos de autenticación programáticos.

Para más detalles sobre cómo implementar la MFA. Consulte

Configuración del acceso a la API protegido por MFA.

Tiene algunas opciones para recuperar el token de MFA necesario para iniciar
sesión cuando la MFA está habilitada. Las opciones incluyen aplicaciones virtuales

compatibles con MFA (como Google Authenticator y Authy Authenticator), dispositivos

con clave de seguridad U2F y opciones de MFA de hardware que proporcionan un llavero

o una tarjeta de visualización.

AWS CloudTrail es un servicio que registra todas las solicitudes de API a los recursos de

su cuenta. De esta forma, permite realizar auditorías operativas en su cuenta.

AWS CloudTrail está habilitado para crear cuentas de forma predeterminada en todas

las cuentas de AWS y mantiene un registro de los últimos 90 días de actividad de

eventos de administración de cuentas.

Puede ver y descargar la actividad de la cuenta de los últimos 90 días con relación a

operaciones de creación, modificación y eliminación de servicios compatibles con

CloudTrail sin necesidad de crear manualmente otro registro de seguimiento.

Para habilitar la retención de registros de CloudTrail más allá de los últimos 90 días
y habilitar las alertas cuando haya eventos específicos, cree un nuevo registro de

seguimiento (descrito en mayor medida en la diapositiva). Para obtener instrucciones

detalladas paso a paso sobre cómo crear un registro de seguimiento en AWS CloudTrail,

consulte Creación de un registro de seguimiento en la documentación de AWS.

 Otro paso recomendado para proteger una nueva cuenta de AWS consiste en

habilitar los informes de facturación, como el informe de uso y costo de AWS. Los

informes de facturación proporcionan información sobre el uso de los recursos de AWS y

los costos estimados de dicho uso. AWS envía los informes a un bucket de Amazon S3

que usted especifique y AWS los actualiza al menos una vez al día.

El informe de uso y costo de AWS realiza un seguimiento del uso en la cuenta de

AWS y proporciona los cargos estimados, ya sea por hora o por día.

Consulte la documentación de AWS para obtener más información acerca de cómo crear un

informe de uso y costo de AWS.

 Lección 3: Protección de una cuenta nueva en AWS

El mentor puede optar por mostrar una explicación completa de los dos primeros

pasos principales que debe completar para proteger una nueva cuenta de AWS. (Estos pasos

se han descrito en las diapositivas anteriores). En las diapositivas de esta lección, se muestran

capturas de pantalla de cómo es realizar el proceso en detalle.

La captura de pantalla muestra un ejemplo del aspecto del panel de la

consola de IAM cuando ha iniciado sesión como usuario raíz de la cuenta de AWS.
Pasos a seguir para obtener acceso a esta pantalla en una cuenta:

1. Inicie sesión en la consola de administración de AWS como usuario raíz de la

cuenta de AWS.

2. Vaya a la página de servicio de IAM y haga clic en el enlace Dashboard (Panel).

3. Revise la información en el panel Security Status (Estado de seguridad).

En la captura de pantalla, solo se ha completado una de las cinco comprobaciones

de estado de seguridad (Elimine las claves de acceso raíz). El objetivo de una persona que

completa los pasos para proteger la cuenta es recibir marcas verdes junto a cada elemento

de estado de seguridad.

Una revisión de la lista de estado de seguridad actual indica lo siguiente:

• La MFA no se ha activado en el usuario raíz de la cuenta de AWS.

• No se crearon usuarios de IAM individuales.

• No se asignan permisos a grupos.

• No se aplicó una política de contraseñas de IAM.

La cuenta tiene un enlace de inicio de sesión de usuario personalizado. Tenga en

cuenta que el número de cuenta se ocultó en esta captura de pantalla. Si lo desea, puede

utilizar el enlace Customize (Personalizar) ubicado a la derecha del enlace de inicio de

sesión de usuario de IAM para cambiar el nombre de la cuenta de forma que no muestre el

número de cuenta. Este enlace se utiliza para iniciar sesión en la cuenta y se puede enviar a

los usuarios después de crear sus cuentas.

Antes de crear usuarios de IAM en la cuenta, active MFA en el usuario raíz de la

cuenta. Para iniciar sesión como usuario raíz de la cuenta, utilice la dirección de email con

la que creó la cuenta. El usuario raíz de la cuenta tiene acceso a todo, por lo que es
importante proteger esta cuenta con restricciones.

Pasos a seguir para configurar MFA:

1. Haga clic en el enlace Activate MFA on your root account (Activar MFA en su

cuenta raíz).

2. Haga clic en Manage MFA (Administrar FMA).

3. Haga clic en Assign MFA device (Asignar dispositivo MFA). Tiene tres

opciones: dispositivo MFA virtual, clave de seguridad U2F y otro

dispositivo MFA físico. Un dispositivo de hardware es un dispositivo de

hardware real.

4. Para esta demostración, seleccione Virtual MFA device (Dispositivo MFA virtual

) y, a continuación, haga clic en Continue (Continuar).

5. Aparece un nuevo cuadro de diálogo que pide configurar un dispositivo MFA virtual.

Debe descargarse una aplicación (como Google Authenticator) para esta tarea. Una

vez completa la descarga, haga clic en Show QR code (Mostrar código QR).
6. En la aplicación de autenticación, seleccione el signo más (+).

7. Escanee el código de barras y escriba el primer código de autenticación.

8. Espere un momento para que se muestre el segundo código y escríbalo.

9. Haga clic en el botón Assign MFA (Asignar MFA).

 Configur
ación de
MFA

10. Haga clic en Finish (Terminar) y actualice el navegador.

En el panel Security Status (Estado de seguridad), ahora debería aparecer un

icono de marca de verificación verde que indica que la MFA está activada en el usuario

raíz de la cuenta.
 La mayoría de las cuentas de AWS se comparten entre varios usuarios de una

organización. Para admitir esta práctica, puede configurar cada usuario con permisos

asignados individualmente o puede agregar usuarios al grupo de IAM adecuado que les

conceda permisos específicos.

Una práctica recomendada de AWS consiste en proporcionar a cada usuario su

propio inicio de sesión de usuario de IAM para que no inicie sesión como usuario raíz de

la cuenta con privilegios globales ni utilice las mismas credenciales que otra persona para

iniciar sesión en la cuenta.

Pasos a seguir para implementar esta configuración:

1. Haga clic en Create individual IAM users (Crear usuarios de IAM

individuales) y seleccione Manage Users (Administrar usuarios).

2. Seleccione Add user (Agregar usuario) y especifique un nuevo nombre de usuario.

Tenga en cuenta que los nombres de usuario no pueden tener espacios.

3. Seleccione Access type (Tipo de acceso). Existen dos tipos de acceso (puede

conceder uno o ambos tipos al usuario, pero para esta demostración, conceda ambos

tipos):

• El acceso mediante programación permite al usuario tener acceso a la CLI de

AWS para aprovisionar recursos. Esta opción generará una clave de acceso por

única vez. Se la debe guardar ya que será necesaria para todos los accesos

futuros.

• El acceso a la consola de administración de AWS permite al usuario iniciar

 sesión en la consola de AWS.

4. Si decide conceder acceso a la consola, seleccione Autogenerate password

(Generar contraseña automática) o seleccione Custom password (Contraseña

personalizada) y escriba una.

5. Haga clic en Next: Permissions(Siguiente: permisos).

A continuación, asignará los permisos. Tiene tres opciones para asignar permisos:

• Agregar un usuario al grupo

• Copiar permisos de un usuario existente

• Asociar directamente las políticas existentes

6. Quiere agregar el usuario a un grupo, entonces seleccione Add user to group

(Agregar usuario a grupo) y, luego, Create group (Crear grupo).

Nota: un grupo son los usuarios que heredan las políticas asignadas.
7. Asigne un nombre al grupo. En este ejemplo, conceda acceso administrativo

al desarrollador principal y, a continuación, seleccione Create group (Crear

grupo).
8. Seleccione Next Review (Siguiente revisión) para revisar lo que se creará

y, a continuación, seleccione Create user (Crear usuario).

 Cuando se crea un usuario (suponiendo que habilitó el acceso mediante

programación y la consola cuando definió la configuración Access type [Tipo de

acceso] y creó el usuario), se generan varios artefactos:

1. Un ID de clave de acceso que se puede utilizar para firmar las llamadas a la API de

AWS cuando el usuario utiliza la CLI de AWS o los SDK de AWS.

2. Una clave de acceso secreta que también se utiliza para firmar llamadas a la API de

AWS cuando el usuario utiliza la CLI de AWS o los SDK de AWS.

3. Una contraseña que se puede utilizar para iniciar sesión en la consola de

administración de AWS.

Seleccione Show (Mostrar) para mostrar los valores de cada campo. Las

credenciales también se pueden descargar seleccionando Download .csv (Descargar.csv).

Esta será la única vez que tendrá la opción de descargar estas credenciales. No tendrá la

oportunidad de recuperar la clave de acceso secreta después de esta pantalla. Por lo tanto,

debe descargar las credenciales o, como mínimo, copiar la clave de acceso secreta y pegarla

en un lugar seguro.

Importante: Nunca almacene estas credenciales en un lugar público (por ejemplo,

nunca incruste estas credenciales en el código que cargue en GitHub o en otro lugar).

Puede usar esta información para acceder a su cuenta. Si alguna vez le preocupa que sus

credenciales se hayan visto comprometidas, inicie sesión como usuario con permisos de

acceso de administrador de IAM y elimine la clave de acceso existente. Si lo desea, puede

crear una nueva clave de acceso.

 Cuando vuelva al panel de IAM, los puntos relacionados con el estado de seguridad

Create individual IAM users (Crear usuarios de IAM individuales) y Use groups to assign

permissions (Usar grupos para asignar permisos) deberían mostrar que se han tratado.

El punto de seguridad restante que se debe tratar es aplicar una política de

contraseñas de IAM.
 La política de contraseñas de IAM es un conjunto de reglas que define el tipo de

contraseña que puede configurar un usuario de IAM.

Seleccione las reglas que deben cumplir las contraseñas y, a continuación, seleccione

Apply password policy (Aplicar política de contraseñas).

 Ahora, todas las señales de verificación en el estado de seguridad deben ser de color verde. Esto

significa que su cuenta ahora satisface todas las verificaciones de seguridad de IAM que se muestran.

¡Felicitaciones por haber completado esta tarea!

 Los aprendizajes clave de esta lección están relacionados con las prácticas

recomendadas para proteger una cuenta de AWS. Estas prácticas recomendadas son las

siguientes:

• Proteja los inicios de sesión con Multi-Factor Authentication (MFA).

• Elimine las claves de acceso de usuario raíz de la cuenta.

• Cree usuarios de IAM individuales y otorgue permisos de acuerdo con el principio

de mínimo privilegio.

• Utilice grupos para asignar permisos a usuarios de IAM.

• Configure una política de contraseñas sólida.

• Delegue el uso de roles en lugar del uso compartido de credenciales.

• Monitoree la actividad de la cuenta con AWS CloudTrail.

Presentación del laboratorio 1: Introducción a IAM de AWS

En este laboratorio práctico, podrá hacer lo siguiente:

• Analizar usuarios y grupos de IAM creados previamente

• Inspeccionar políticas de IAM a medida que se apliquen a los grupos creados previamente

• Seguir una situación real y agregar usuarios a grupos que tengan capacidades

específicas habilitadas

• Ubicar y usar la URL de inicio de sesión de la IAM

• Experimentar con los efectos de las políticas de IAM en el acceso a los recursos de AWS
 En el diagrama, se muestran los recursos que tendrá su cuenta de AWS después de

completar los pasos del laboratorio. También, se describe cómo se configurarán los

recursos.
 Presentación de la lección 4: Protección de Cuentas y Datos AWS

AWS Organizations es un servicio que facilita la gestión centralizada de múltiples cuentas de

AWS. En términos de seguridad, ofrece características importantes.

Una característica es la capacidad de organizar cuentas en unidades organizativas (OU) y aplicar

políticas de acceso específicas a cada una. Por ejemplo, puede agrupar cuentas con requisitos normativos

similares en una OU y luego aplicar una política que restringe su acceso a ciertos servicios de AWS según

esos requisitos.

Otra característica es la integración con IAM, lo que permite un control extendido a nivel de

cuenta. Esto significa que puede definir qué pueden hacer los usuarios y roles en una cuenta o grupo de

cuentas. Los permisos se determinan por la intersección entre las políticas de AWS Organizations y las

políticas de IAM asignadas a los usuarios o roles.

 Además, AWS Organizations proporciona políticas de control de servicios (SCP) que establecen

los permisos máximos para las cuentas miembro. Con las SCP, se puede restringir específicamente el

acceso a acciones, recursos y servicios de AWS para cada cuenta. Estas restricciones anulan incluso los

permisos otorgados explícitamente por los administradores de las cuentas miembro, garantizando un

control más estricto sobre el acceso a recursos y servicios de AWS.

 Aquí se ofrece un análisis más detallado de la característica de políticas de control

de servicios (SCP) de AWS Organizations.

Las SCP ofrecen control central de los permisos máximos disponibles para todas

las cuentas de la organización. De esta manera, le permite asegurarse de que sus cuentas

cumplan en todo momento las directrices de control de acceso de la organización. Las SCP

solo están disponibles en una organización que tiene todas las características habilitadas,

incluida la facturación unificada. Las SCP no están disponibles si su organización ha

habilitado únicamente las características de facturación unificada.

Para obtener instrucciones sobre cómo habilitar las SCP, consulte Habilitación y

deshabilitación de un tipo de política en un nodo raíz.

 Las SCP son similares a las políticas de permisos de IAM y utilizan

prácticamente la misma sintaxis. Sin embargo, una SCP nunca concede permisos. Las

SCP son políticas de JSON que especifican los permisos máximos para una organización

o unidad organizativa (OU). Asociar una SCP al nodo raíz de la organización o a una

unidad organizativa (OU) establece una protección para las acciones que pueden realizar

las cuentas del nodo raíz de la organización o la unidad organizativa. Sin embargo, no

sustituye las configuraciones de IAM bien administradas dentro de cada cuenta. Además,

tendrá que asociar políticas de IAM a los usuarios y a los roles de las cuentas de la

organización para concederles realmente los permisos.

 AWS Key Management Service (AWS KMS) es un servicio que le permite crear

y administrar claves de cifrado, así como controlar el uso del cifrado en una amplia gama

de servicios de AWS y sus aplicaciones. AWS KMS es un servicio seguro y resistente que

utiliza módulos de seguridad de hardware (HSM) validados según el Estándar de

procesamiento de la información federal (FIPS) 140-2 (o en proceso de validación) para

proteger sus claves. AWS KMS también se integra AWS CloudTrail para ofrecerle los

registros de uso de todas las claves a fin de que satisfagan sus necesidades vinculadas con

asuntos normativos y de conformidad.

Las claves maestras de cliente (CMK) se utilizan para controlar el acceso a las

claves de cifrado de datos que cifran y descifran los datos. Puede crear nuevas claves
maestras cuando lo desee y puede administrar quién tiene acceso a estas claves y en qué

servicios se pueden utilizar. Además, puede importar claves de su propia infraestructura de

administración de claves en AWS KMS.

AWS KMS se integra a la mayoría de los servicios de AWS, lo que significa que

puede utilizar claves maestras de AWS KMS para controlar el cifrado de los datos que

almacena en estos servicios. Para obtener más información, consulte las características de

AWS Key Management Service.

 Amazon Cognito proporciona herramientas para administrar el acceso a los recursos de AWS

desde su aplicación. Le permite definir roles y asignar usuarios a estos roles para que su aplicación solo

pueda acceder a los recursos autorizados para cada usuario.

El servicio utiliza estándares comunes de gestión de identidades, como SAML 2.0. SAML es un

estándar abierto que facilita el intercambio de información de identidad y seguridad entre aplicaciones y

proveedores de servicios. Esto significa que puede utilizar las credenciales de su directorio corporativo,

como el nombre de usuario y la contraseña de Microsoft Active Directory, para iniciar sesión en

aplicaciones y servicios compatibles con SAML a través de un único inicio de sesión (SSO).

Amazon Cognito es adecuado para cumplir una variedad de requisitos de seguridad y

cumplimiento, incluidos los de sectores altamente regulados como la atención médica y el comercio.
Puede utilizarse en entornos que requieren cumplimiento de normativas como HIPAA, PCI DSS, SOC

(Control de Organizaciones), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e ISO 9001
 AWS Shield es un servicio administrado de protección contra ataques de

denegación de servicio distribuidos (DDoS) que protege las aplicaciones ejecutadas en

AWS. Ofrece detección permanente y mitigaciones directas automáticas que reducen el

tiempo de inactividad y latencia de las aplicaciones, por lo que no hay necesidad de contar

con AWS Support para disfrutar de la protección de DDoS.

AWS Shield le ayuda a proteger su sitio web de todos los tipos de ataques DDoS,

incluidos los ataques en la capa de la infraestructura (como las inundaciones del protocolo

de datagramas de usuario o inundaciones [o UDP]), los ataques de agotamiento de estado

(como las inundaciones TCP SYN) y los ataques en la capa de la aplicación (como las

inundaciones HTTP GET o POST).

 Para ver ejemplos, consulte la guía para desarrolladores de AWS WAF y AWS Shield

Advanced.

AWS Shield Standard se habilita automáticamente para todos los clientes de AWS sin costo

adicional.

AWS Shield Advanced es un servicio de pago opcional. AWS Shield Advanced ofrece

protecciones adicionales ante los ataques más grandes y sofisticados para las aplicaciones

que se ejecutan en Amazon EC2, Elastic Load Balancing, Amazon CloudFront, AWS

Global Accelerator y Amazon Route 53. AWS Shield Advanced está disponible para todos

los clientes. Sin embargo, para ponerse en contacto con el equipo de respuesta de DDoS,

los clientes necesitan contar con Enterprise Support o Business Support de AWS Support.
 El cifrado de datos es una técnica fundamental para salvaguardar información digital.

Funciona transformando los datos en un formato ilegible a menos que se disponga de una clave

secreta para descifrarlos. De esta manera, incluso si un intruso logra acceder a los datos, no podrá

comprender su contenido.

Los datos en reposo son aquellos que se almacenan físicamente en dispositivos de

almacenamiento, como discos duros o cintas magnéticas.

Puede crear sistemas de archivos cifrados en AWS para que todos sus datos y

metadatos se cifren en reposo mediante el algoritmo de cifrado estándar y abierto Advanced

Encryption Standard (AES) de 256 bits. Cuando utiliza AWS KMS, el cifrado y el descifrado

se gestionan de forma automática y transparente, por lo que no es necesario modificar sus

aplicaciones. Si su organización está sujeta a políticas corporativas o normativas que

requieren el cifrado de datos y metadatos en reposo, AWS recomienda que habilite el cifrado

en todos los servicios que almacenan sus datos. Puede cifrar los datos almacenados en

cualquier servicio compatible con AWS KMS.

Consulte cómo los servicios de AWS utilizan AWS KMS para obtener una lista de los

servicios admitidos.
 Los datos en tránsito se refieren a los datos que se mueven a través de la red. El

cifrado de los datos en tránsito se realiza mediante el uso de la seguridad de Transport

Layer Security (TLS) 1.2 con un cifrado AES de 256 bits estándar abierto. TLS

anteriormente se denominaba capa de conexión segura (SSL).

AWS Certificate Manager es un servicio que le permite aprovisionar, administrar

e implementar certificados SSL o TLS para su uso con los servicios de AWS y sus

recursos internos conectados. Los certificados de SSL o TLS se usan para proteger las

comunicaciones por red y para definir la identidad de sitios web mediante Internet y

recursos en redes privadas. Con AWS Certificate Manager, puede solicitar un certificado

y, luego, implementarlo en recursos de AWS (como balanceadores de carga o

distribuciones de CloudFront). AWS Certificate Manager también se encarga de renovar

certificados.

El tráfico web que se ejecuta a través de HTTP no es seguro. Sin embargo, el

tráfico que se ejecuta a través de HTTP seguro (HTTPS) se cifra mediante TLS o SSL.

El tráfico HTTPS está protegido contra ataques de acceso no autorizados y ataques de

intermediario debido al cifrado bidireccional de la comunicación.

 Los servicios de AWS admiten el cifrado de datos en tránsito. Se muestran dos

ejemplos de cifrado para datos en tránsito. El primer ejemplo muestra una instancia EC2

que ha montado un sistema de archivos compartidos de Amazon EFS. Todo el tráfico de

datos entre la instancia y Amazon EFS se cifra mediante TLS o SSL.

Para obtener más información acerca de esta configuración, consulte Cifrado de datos de

EFS en tránsito.

El segundo ejemplo muestra el uso de AWS Storage Gateway, un servicio de

almacenamiento en la nube híbrida que proporciona acceso en las instalaciones al

almacenamiento en la nube de AWS. En este ejemplo, la gateway de almacenamiento está

conectada a través de Internet a Amazon S3 y la conexión cifra los datos en tránsito.

 De forma predeterminada, todos los buckets de Amazon S3 son privados y solo

pueden acceder los usuarios a los que se les concede acceso explícitamente. Es

fundamental administrar y controlar el acceso a los datos de Amazon S3. AWS

proporciona muchas herramientas y opciones para controlar el acceso a sus buckets u

objetos de S3, entre los que se incluyen los siguientes:

• El uso de Amazon S3 Block Public Access. Esta configuración anula cualquier otra

política o permisos de objetos. Habilite Block Public Access para todos los buckets

que no desee que sean accesibles públicamente. Esta característica proporciona un

método sencillo para evitar la exposición no deseada de datos de Amazon S3.

• La escritura de políticas de IAM que especifiquen los usuarios o roles que pueden

obtener acceso a buckets y objetos específicos. Este método se ha tratado en detalle

anteriormente en este módulo.

• La escritura de políticas de bucket que definan el acceso a buckets u objetos

específicos. Esta opción se suele utilizar cuando el usuario o el sistema no pueden

autenticarse mediante IAM. Las políticas de bucket se pueden configurar para conceder

acceso entre cuentas de AWS o para conceder acceso público o anónimo a los datos de

Amazon S3. Si se utilizan políticas de bucket, deben escribirse detenidamente y

probarse en su totalidad.
 Se puede especificar una denegación de acceso en una política de bucket. Estará

restringido incluso si los usuarios tienen permisos concedidos en una política basada en

identidad asociada a los usuarios.

• Configuración de listas de control de acceso (ACL) en sus buckets y objetos. Las

ACL se utilizan con menos frecuencia (las ACL preceden a la IAM). Si utiliza ACL, no

establezca un acceso demasiado abierto o permisivo.

• AWS Trusted Advisor proporciona una característica de comprobación de permisos

de buckets, que es una herramienta útil para descubrir si alguno de los buckets de su

cuenta tiene permisos que conceden acceso global.

 Lección 5: Trabajo para garantizar la conformidad

AWS colabora con organismos de certificación externos y auditores independientes

para ofrecer a los clientes información sobre las políticas, los procesos y los controles que

establece y aplica AWS.

Se encuentra disponible una lista de los programas de conformidad de AWS en su totalidad.

Para obtener más información acerca de qué servicios de AWS están incluidos en el ámbito

de los programas de garantía de AWS, consulte Servicios de AWS en el ámbito del programa

de conformidad.
 Como ejemplo de una certificación en la que puede utilizar los servicios de AWS

para cumplir sus objetivos de conformidad, considere la certificación ISO/IEC

27001:2013. Especifica los requisitos para establecer, implementar, mantener y mejorar

continuamente un sistema de administración de seguridad de la información. La base de

esta certificación es el desarrollo y la implementación de un programa de seguridad

riguroso, que incluye el desarrollo y la implementación de un sistema de administración de

seguridad de la información. El sistema de administración de la seguridad de la

información define cómo AWS administra constantemente la seguridad de una manera

integral.
 AWS también ofrece características de seguridad y acuerdos legales diseñados para

ayudar a los clientes con regulaciones y leyes comunes. Un ejemplo es el reglamento de la

Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA). Otro ejemplo es

el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE), que

protege el derecho fundamental a la privacidad y la protección de datos personales de los

titulares de datos pertenecientes a la Unión Europea. Introduce requisitos estrictos que

refuerzan y armonizan las normas de protección de datos, seguridad y conformidad.

El Centro del GDPR contiene muchos recursos para ayudar a los clientes a cumplir sus

requisitos de conformidad con esta normativa.

 AWS Config es un servicio diseñado para examinar, controlar y evaluar las configuraciones de

sus recursos en la nube de AWS. Automáticamente supervisa y registra las configuraciones de sus

recursos, permitiendo comparar con las configuraciones ideales que se establecen. De esta manera, puede

detectar y analizar los cambios en las configuraciones, así como las relaciones entre los distintos recursos

de AWS. Esto facilita la realización de auditorías de cumplimiento, análisis de seguridad y gestión de

cambios, al tiempo que ayuda a solucionar problemas operativos.

El tablero de AWS Config proporciona un inventario completo de todos los recursos en su cuenta,

mostrando su estado de conformidad con las reglas de configuración establecidas. Los recursos que no

cumplen con las reglas se destacan, lo que le alerta sobre posibles problemas de configuración que

requieren atención inmediata.

 Estos son algunos de los aprendizajes clave de esta unidad.

• Los programas de conformidad de seguridad de AWS proporcionan información acerca

de las políticas, los procesos y los controles que establece y opera AWS.

• AWS Config se utiliza para analizar, auditar y evaluar las configuraciones de los

recursos de AWS.

• AWS Artifact proporciona acceso a informes de seguridad y conformidad.

 Ha llegado el momento de hacer un repaso del módulo y concluir con una revisión de

conocimientos y un debate sobre una pregunta del examen de certificación como práctica.

En resumen, en esta unidad, aprendió a hacer lo siguiente:

• Reconocer el modelo de responsabilidad compartida

• Identificar la responsabilidad del cliente y de AWS

• Reconocer usuarios, grupos y roles de IAM

• Describir los diferentes tipos de credenciales de seguridad en IAM

• Identificar los pasos para proteger una nueva cuenta de AWS

• Explorar los usuarios y los grupos de IAM

• Reconocer cómo proteger los datos de AWS

• Reconocer los programas de conformidad de AWS

La seguridad es un tema extenso y esta unidad sólo ha proporcionado una

introducción al tema. Los siguientes recursos proporcionan más detalles:

• La página de inicio de seguridad en la nube de AWS: proporciona enlaces a

muchos recursos de seguridad.

• Recursos de seguridad de AWS.

• Blog de seguridad de AWS.

• Los boletines de seguridad notifican al cliente los últimos eventos de

seguridad y privacidad con los servicios de AWS.

 • La página de pruebas de intrusión y vulnerabilidad: describe qué tipos de pruebas están

permitidos sin aprobación previa, qué tipos de pruebas requieren aprobación y qué

tipos de pruebas están prohibidos.

• Marco de Buena Arquitectura de AWS: pilar de seguridad.

• Documentación de AWS: prácticas recomendadas de IAM.

Ha llegado el momento de completar la revisión de conocimientos de este módulo.

Evaluación de conocimientos

1. ¿Cuál es un principio fundamental del modelo de responsabilidad compartida en AWS?

a) AWS es responsable de toda la seguridad de la nube.

b) El cliente es responsable de toda la seguridad de la nube.

c) AWS y el cliente comparten responsabilidades en la seguridad de la nube.

d) El cliente no tiene ninguna responsabilidad en la seguridad de la nube.

Respuesta correcta: c) AWS y el cliente comparten responsabilidades en la seguridad de la nube.

2. ¿Cuál es la responsabilidad del cliente en el modelo de responsabilidad compartida de AWS?

a) Proteger la infraestructura física de AWS.

b) Proteger y mantener los recursos de AWS que utiliza.

c) Proteger la infraestructura global de AWS.

d) Mantener la seguridad de las instalaciones de AWS.

Respuesta correcta: b) Proteger y mantener los recursos de AWS que utiliza.

 3. ¿Cuál de las siguientes opciones es un componente de IAM en AWS?

a) Servidor web

b) Grupo de IAM

c) Almacenamiento de datos

d) Base de datos

Respuesta correcta: b) Grupo de IAM

4. ¿Cuál es un tipo de credencial de seguridad en IAM de AWS?

a) Contraseña única

b) Certificado SSL

c) ID de clave de acceso

d) Dirección IP estática

Respuesta correcta: c) ID de clave de acceso

5. ¿Cuál de los siguientes es uno de los pasos recomendados para proteger una nueva cuenta de AWS?

a) Utilizar siempre las credenciales de usuario raíz para todas las interacciones.

b) Habilitar la autenticación de dos factores (MFA) para el usuario raíz y los usuarios de IAM.

c) Compartir las credenciales de usuario raíz con otros usuarios.

d) Permitir el acceso sin restricciones a todos los recursos de AWS.

Respuesta correcta: b) Habilitar la autenticación de dos factores (MFA) para el usuario raíz y los usuarios de IAM.

6. ¿Qué permite hacer un grupo de IAM en AWS?

a) Asignar permisos a recursos específicos.

b) Unificar cuentas de AWS en una organización.

c) Simplificar la administración de permisos para múltiples usuarios.

d) Gestionar la infraestructura física de AWS.

Respuesta correcta: c) Simplificar la administración de permisos para múltiples usuarios.

7. ¿Cómo se puede proteger los datos en AWS?

a) Utilizando contraseñas fáciles de recordar.

b) Cifrando los datos.

c) Compartiendo los datos públicamente.

d) Almacenando los datos sin ninguna protección adicional.

Respuesta correcta: b) Cifrando los datos.

8. ¿Qué hacen los programas de conformidad de AWS?

a) Garantizar que AWS sea el único responsable de la seguridad de la nube.

b) Proporcionar herramientas para que los clientes gestionen su propia seguridad.

c) Verificar el cumplimiento de las normativas y estándares de seguridad.

d) Permitir a los clientes ignorar los requisitos de seguridad.

Respuesta correcta: c) Verificar el cumplimiento de las normativas y estándares de seguridad.

9. ¿Cuál es uno de los usuarios básicos de IAM?

a) Usuario Root

b) Usuario Secundario

c) Usuario Terciario

d) Usuario Superior

Respuesta correcta: a) Usuario Root

10. Los programas de conformidad de AWS están diseñados para verificar el cumplimiento de normativas y

estándares de seguridad, pero no son obligatorios para los clientes.

Verdadero ( )

Falso ( )
Respuesta correcta Falso