viernes, 19 de septiembre de 2025

IAM: AWS Identity and Access Management

 Descripción general

AWS Identity and Access Management (IAM) es un servicio web que ayuda a controlar de forma segura el acceso a los recursos de AWS. Con IAM, se puede administrar a qué recursos de AWS pueden acceder los usuarios. Se utiliza IAM para controlar quién está autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos. IAM proporciona la infraestructura necesaria para controlar la autenticación y la autorización.

¿Qué soluciona?

Permite gestionar la identidad y el acceso a recursos de AWS de forma segura, granular y centralizada, implementando controles de autorización robustos para usuarios, roles, grupos y servicios.

Soporta MFA, federación, credenciales temporales, roles vinculados a servicios, políticas basadas en atributos (ABAC), y otros mecanismos de seguridad avanzados.

IAM es uno de los servicios más importantes de conocer porque es la primera capa de seguridad en la cuenta, del cual se generan la gran mayoría de políticas de control de acceso.

Conceptos clave

  • Recurso: es cualquier cosa que creas o usas dentro de la nube. Por ejemplo, una máquina virtual (EC2), un bucket de almacenamiento (S3), una base de datos (RDS), una función (Lambda), una red (VPC). ● Usuario: es simplemente una identidad que puede entrar a tu cuenta y usar los recursos de la nube.
  • Rol: Imagina el quirófano de un hospital, solo para entrar necesitas un equipamiento específico. En Aws un rol es ese equipamiento que le permite a los usuarios efectuar acciones específicas. Un rol no tiene credenciales fijas, se “asume” (se toma prestado) y al hacerlo recibes permisos temporales.
  • MFA: significa Multi-Factor Authentication o Autenticación Multi-Factor. Es como ponerle un segundo candado a tu cuenta. Usualmente se usan sistemas de generación de códigos como Google Authenticator para complementar el usuario y contraseña de la cuenta, se suele decir que es recomendable, yo digo que aunque Aws no lo requiere debería ser obligatorio, ya que, es muy importante para asegurar cualquier cuenta.
  • Federación: significa que no necesitas crear un usuario de AWS (IAM) para cadapersona que quiera entrar. En lugar de eso, las personas usan su identidad de otro sistema (Google, Microsoft, tu empresa, etc.) para entrar a AWS.
  • ABAC: política basada en atributos (Attribute-Based Access Control) es una forma de dar permisos usando etiquetas (tags) en lugar de nombres de usuario o roles fijos.

Herramientas / funcionalidades principales

  • Gestión de identidades: usuarios, grupos, roles
  • Políticas JSON detalladas (controles de acceso granulares)
  • MFA (Multi-Factor Authentication)
  • Credenciales temporales mediante STS.
  • Federated access (Google, Active Directory, SAML, etc.)
  • Service-linked roles (roles vinculados a servicios)
  • Políticas basadas en atributos (ABAC)
  • IAM Access Advisor (información de uso reciente) y Access Analyzer (análisis de acceso externo, interno, no utilizado, validación de políticas, generación automática)

Alcance

Global: IAM no depende de una región específica. Los usuarios, roles, políticas y grupos creados en IAM son válidos en toda tu cuenta de AWS.

SLA (Service Level Agreement)

No existe un SLA financiero ni de disponibilidad específico para el servicio IAM general (usuarios, roles, políticas).

Aspectos clave de Pricing

  • IAM básico (usuarios, roles, políticas, grupos, MFA, federación, STS, SSO, etc.): gratuito, sin cargos adicionales .
  • IAM Access Analyzer (característica avanzada de IAM):
    • Analizador externo: gratuito
    • Analizador interno: pago por recurso monitoreado / mes
    • Analizador de acceso no utilizado: pago $0.20 por rol o usuario IAM por mes
    • Comprobaciones personalizadas de políticas: $0.0020 por llamada a API (check)

Buenas prácticas y consideraciones

  • Implementar principio de menor privilegio (least privilege), por ejemplo usando Access Analyzer para refinar permisos.
  • Mantener roles y usuarios inactivos desactivados o eliminados por razones de seguridad.
  • Utilizar tags y ABAC para automatización y escalado eficiente de permisos.
  • Para control de costos por usuario, se recomienda usar cuentas separadas dentro de AWS Organizations y etiquetado con CUR (Cost and Usage Reports)

Servicios relacionados

  • AWS Security Token Service (STS)
  • AWS Organizations (para federación y políticas a nivel de organización)
  • AWS CloudTrail (registro de eventos y auditoria)
  • Reachability Analyzer (usa service-linked roles)

Limitaciones relevantes

  • No existe un SLA financiero ni garantía de uptime; en caso de problemas, no hay créditos automáticos como en otros servicios.
  • Access Advisor tiene cobertura limitada y no detecta uso excesivo de acciones específicas; Access Analyzer es la solución más robusta

  • Gestión de costos por usuario dentro de la misma cuenta es limitada; se recomienda arquitectura multi-cuenta.

Documentación oficial

https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/introduction.html

--





a la/s
Etiquetas: , , , ,
Ubicación: Méndez Álvaro, Arganzuela, 28045 Madrid, España

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Patrones de Despliegue

Un patrón de despliegue es una estrategia estructurada para actualizar o liberar nuevas versiones de software en un entorno de producción, ...