Todo sobre Apple, Android, Juegos Apks y Sitios de Peliculas

¬ŅQu√© son los usuarios de AWS IAM y c√≥mo se administran?

  

Quiz√°s el peor error de seguridad que puede cometer es dejar claves de acceso secretas altamente confidenciales en un servidor web. Entonces, cuando llega el momento de instalar y autenticar la CLI de AWS en una instancia EC2 remota, ¬Ņc√≥mo se configura?

Debería utilizar usuarios de IAM

La respuesta definitivamente es no usar sus claves de acceso raíz; estos son los tokens más importantes de su cuenta y pueden omitir cualquier dispositivo de autenticación multifactor que haya configurado. (En realidad puedes configurar Acceso API protegido por MFA pero no para la cuenta raíz).

AWS proporciona un servicio para solucionar este problema. La consola ‚ÄúAdministraci√≥n de identidad y acceso‚ÄĚ (IAM) le permite crear usuarios secundarios separados de su cuenta ra√≠z. Pueden ser usuarios de servicios con acceso a API o cuentas de usuario completas (con acceso a la Consola de administraci√≥n de AWS) que puede usar para cuentas de empleados.

Cada usuario de IAM ha administrado el acceso a los recursos de AWS dentro de su cuenta. El acceso se controla con Políticas, que otorgan un conjunto de permisos que controlan lo que puede hacer cada usuario. Estas políticas detalladas pueden controlar casi todas las acciones que puede realizar en la Consola de administración de AWS.

Tambi√©n puede establecer manualmente un l√≠mite de permisos, que act√ļa como un permiso m√°ximo que un usuario no puede superar, anulando cualquier pol√≠tica que pueda otorgarles m√°s. Es una caracter√≠stica avanzada que se utiliza para delegar la gesti√≥n de permisos a los empleados de IAM y les permite crear roles de servicio adicionales sin escalamiento de privilegios.

Cómo configurar usuarios de IAM

Desde el Consola de administraci√≥n de IAMhaga clic en la pesta√Īa ‚ÄúUsuarios‚ÄĚ y seleccione ‚ÄúAgregar usuario‚ÄĚ.

Asígnele un nombre y luego seleccione cómo desea que este usuario acceda a AWS. El acceso programático le brinda un ID de clave de acceso y una clave de acceso secreta, que se utilizan para autenticarse con la API y la CLI de AWS.

El acceso a la Consola de administraci√≥n permite al usuario acceder a la consola web, que es lo que habilita si otorga acceso a los empleados. Si est√° configurando esto, AWS proporciona de forma predeterminada una contrase√Īa generada autom√°ticamente y obliga al empleado a cambiarla cuando inicia sesi√≥n.

Puedes dar ambos tipos de acceso si lo deseas.

A continuaci√≥n, configura los permisos. AWS proporciona muchas pol√≠ticas predise√Īadas que puede adjuntar directamente al usuario. Tambi√©n puede crear un grupo y agregar el usuario a ese grupo, lo que le permite administrar m√°s f√°cilmente varios usuarios.

Realmente, no recomendamos utilizar la mayor√≠a de estas pol√≠ticas predefinidas. Realmente no desea otorgar ‚ÄúAcceso total‚ÄĚ a ning√ļn servicio individual, y la otra alternativa suele ser ‚ÄúSolo lectura‚ÄĚ, que probablemente no sea suficiente acceso por s√≠ sola. Algunos de los permisos m√°s ajustados est√°n bien, pero deber√≠as crear los tuyos propios.

Ver√°s r√°pidamente por qu√© el ‚Äúacceso total‚ÄĚ es una mala idea. Supongamos que est√° configurando un servidor que necesita acceder a S3 y cargar objetos. Es posible que desee darle acceso de ‚ÄúEscritura‚ÄĚ, pero esto tambi√©n le permite al usuario eliminar dep√≥sitos completos, lo cual no es nada ideal. Una mejor soluci√≥n es otorgar el permiso ‚ÄúPutObject‚ÄĚ, que permite realizar solicitudes PUT.

Estos permisos son bastante intensivos y varían de un servicio a otro, pero siempre puede hacer clic en el signo de interrogación junto al nombre del permiso para obtener una definición rápida. De lo contrario, puedes leer nuestra guía de permisos de IAM aprender más.

Puede (y probablemente debería) restringir el acceso a ciertos recursos mediante su nombre de recurso de Amazon (ARN), lo que deshabilita el acceso a toda la cuenta. También hay ciertas condiciones que puede adjuntar a los permisos, como la fecha y la hora, que AWS verifica antes de permitir que se realice una acción.

Una vez que haya terminado de adjuntar permisos, puede crear el usuario (opcionalmente, agregue etiquetas primero). Se le dirigirá a una pantalla donde puede descargar o copiar las claves de acceso y, si está agregando acceso a la consola de administración, aparecerá un enlace de inicio de sesión que podrá enviar al empleado que posee la cuenta.

Reemplace su cuenta raíz con un usuario de IAM

De hecho, AWS recomienda encarecidamente esto para cuentas organizativas. En lugar de usar su cuenta ra√≠z para cosas como su CLI personal, debe crear un usuario de IAM ‚ÄúAdministrador‚ÄĚ con acceso a la consola de administraci√≥n y usar el token de acceso para autenticar su terminal personal.

Esto no significa que deba tratar las credenciales de este usuario de IAM como menos seguras que su cuenta ra√≠z; a√ļn as√≠ le arruinar√≠a el d√≠a si su cuenta de administrador estuviera comprometida, por lo que debe continuar usando cuentas de servicio para aplicaciones remotas y Definitivamente a√ļn debes habilitar la autenticaci√≥n multifactor para tu cuenta de administrador IAM. Sin embargo, utilizar un usuario de IAM en lugar de la cuenta ra√≠z es m√°s seguro, ya que existen ciertas acciones en toda la cuenta que solo la cuenta ra√≠z real puede realizar.

Con esta configuraci√≥n, lo √ļnico que utiliza su cuenta ra√≠z son las cosas s√ļper seguras que est√°n vinculadas directamente a su cuenta ra√≠z, como el mantenimiento de la cuenta y la facturaci√≥n. Para todo lo dem√°s, los permisos de administrador son suficientes y le permiten realmente elimine sus claves de acceso ra√≠z para que solo pueda acceder a la cuenta ra√≠z iniciando sesi√≥n manualmente (y pasando MFA).