¿Qué es IAM en AWS?

¿Qué es IAM en AWS?

AWS Identity and Access Management (IAM) es un servicio web que te ayuda a controlar de forma segura el acceso a los recursos de AWS. Puedes utilizar IAM para controlar quién está autenticado (ha iniciado sesión) y autorizado (tiene permisos) para utilizar recursos.

Cuando creas por primera vez una cuenta de AWS, comienzas únicamente por una identidad de inicio de sesión único que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWS (root) y se obtiene acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Te recomendamos que no utilices este usuario para tareas ordinarias, de hecho, ni siquiera en las tareas administrativas, en su lugar, es mejor utilizar dicho usuario exclusivamente para crear el primer usuario de IAM. A continuación, guarda las credenciales del usuario raíz en un lugar seguro y utilícelas únicamente para algunas tareas de administración de cuentas y servicios.

Características de IAM

IAM le ofrece las siguientes características:

  • Acceso compartido a la cuenta de AWS.-Puedes conceder permiso a otras personas para administrar y utilizar los recursos de su cuenta de AWS sin tener que compartir su contraseña o clave de acceso.
  • Permisos detallados.-Puedes conceder diferentes permisos a diferentes personas para diferentes recursos. Por ejemplo, puedes permitir que algunos usuarios tengan acceso completo a Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift y otros servicios de AWS. En el caso de otros usuarios, puedes permitir el acceso de solo lectura a solo algunos buckets de S3 o conceder permiso para administrar solo algunas instancias EC2 o para tener acceso a la información de facturación, pero nada más.
  • Acceso seguro a los recursos de AWS para aplicaciones que se ejecutan en Amazon EC2.-Puedes utilizar características de IAM para conceder de forma segura a las aplicaciones que se ejecutan en instancias EC2 las credenciales que necesitan para acceder a otros recursos de AWS. Entre los ejemplos se incluyen buckets de S3 y RDS o bases de datos de DynamoDB.
  • Multi-Factor authentication (MFA).-Puedes agregar una autenticación de dos factores a la cuenta y a los usuarios individuales para mayor seguridad. Con MFA usted o sus usuarios deben proporcionar no solo una contraseña o clave de acceso para trabajar con la cuenta, sino también un código de un dispositivo configurado específicamente.
  • Identidad federada.-Puedes permitir a los usuarios que ya tienen contraseñas en otros lugares, por ejemplo, en la red corporativa o con un proveedor de identidades de Internet, para obtener acceso temporal a la cuenta de AWS.
  • Información de identidad para realizar un control.-Si utilizas AWS CloudTrail, recibirá registros de logs que incluyen información sobre los usuarios que realizaron solicitudes de recursos en su cuenta. Esta información se basa en identidades de IAM.
  • Conformidad con DSS de PCI.-IAM admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de crédito por parte de un comerciante o proveedor de servicios, y se ha validado por estar conforme con el Estándar de Seguridad de los Datos de la Industria de las Tarjetas de Pago (DSS PCI). Para obtener más información acerca de PCI DSS, incluido cómo solicitar una copia de AWS PCI Compliance Package.
  • Integración con muchos servicios de AWS.-Para obtener una lista de servicios de AWS que funcionan con IAM, consulte Servicios de AWS que funcionan con IAM.
  • Consistencia final.-IAM, al igual que muchos otros servicios de AWS, ofrece consistencia final. IAM consigue una alta disponibilidad replicando datos entre varios servidores ubicados en centros de datos de Amazon de todo el mundo. Si una solicitud para cambiar algunos datos se realiza correctamente, el cambio se confirma y se almacena de forma segura. Sin embargo, el cambio se debe replicar en IAM, lo que puede llevar algún tiempo. Estos cambios incluyen la creación o actualización de usuarios, grupos, roles o políticas. Le recomendamos que no los incluya en las rutas de código de gran importancia y alta disponibilidad de su aplicación. En su lugar, realice los cambios de IAM en otra rutina de inicialización o configuración que ejecute con menos frecuencia. Además, asegúrese de comprobar que los cambios se han propagado antes de que los flujos de trabajo de producción dependan de ellos.
  • Uso gratuito.-AWS Identity and Access Management es una característica de su cuenta de AWS que se ofrece sin cargo adicional. Se le cobrará solo por otros productos de AWS que usen sus usuarios de IAM.AWS Security Token Service es una característica de su cuenta de AWS que ofrece sin cargo adicional. Se le cobrará solo por el uso de otros servicios de AWS a los que tengan acceso las credenciales de seguridad temporales de AWS STS.

Si tienes dudas sobre la seguridad de tu cuenta de AWS con Itera, no dudes en contactarnos.