Módulo 8: protección del acceso

de los usuarios y las aplicaciones

Arquitectura en la nube de AWS Academy

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados.
Información general sobre el módulo
Secciones Demostración
• Perfil de instancias de EC2
1. Necesidad de arquitectura

2. Usuarios de cuentas e IAM Actividad

3. Organización de usuarios • Análisis de las políticas de IAM

4. Federación de usuarios
Laboratorio
5. Varias cuentas • Laboratorio de desafíos:
control del acceso a las
cuentas de AWS mediante IAM
Evaluación de conocimientos

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 2
Objetivos del módulo
Tras completar este módulo, será capaz de hacer lo siguiente:
• Explicar el propósito de los usuarios, los grupos y los roles de
AWS Identity and Access Management (IAM)
• Describir cómo se permite la federación de usuarios dentro de una
arquitectura para mejorar la seguridad
• Reconocer cómo las políticas de control de servicios (SCP) de AWS
Organizations potencian la seguridad dentro de una arquitectura
• Describir cómo administrar varias cuentas de AWS
• Configurar usuarios de IAM

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 3
Sección 1: necesidad
de arquitectura
Módulo 8: protección del acceso de los
usuarios y las aplicaciones

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservado
Requisitos de la empresa de cafetería

La cafetería debe definir qué nivel de acceso deben tener los usuarios

y sistemas a través de los recursos de la nube y luego implementar

estos controles de acceso en la cuenta de AWS.

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 5
Sección 2: usuarios
de cuentas e IAM
Módulo 8: protección del acceso de los
usuarios y las aplicaciones

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservado
Proteger la cuenta raíz
El usuario raíz de la cuenta tiene una gran cantidad de poder. Pasos de seguridad
recomendados:

1. Crear un usuario
administrador de IAM
Usuario
raíz

2. Bloquear las credenciales del

usuario raíz

3. Mayor acceso a la cuenta para la mayoría de las

tareas
a través de

Usuario
de IAM

Consola de Interfaz de la Herramientas AWS

administración línea de y kits de desarrollo
de AWS comandos de de software (SDK)
© 2022, Amazon Web Services, Inc. o susAWS (AWS
filiales. CLI)los derechos reservados.
Todos 7
AWS Identity and Access Management (AWS IAM)

Controla de forma segura el acceso

individual y grupal a sus recursos de
AWS

Se integra con otros servicios de

AWS Identity and
Access
AWS
Management
(AWS IAM)
Administración de identidad federada

Permisos granulares

Soporte para la autenticación

multifactor
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 8
Componentes de IAM: revisión

Definido en su cuenta de AWS. Utilice las

credenciales para autenticar mediante
Usuario programación o a través de la Consola de
de IAM administración de AWS.

Un conjunto de usuarios de IAM a los Instancias de

que se les otorga una autorización Acceso Amazon Elastic
idéntica. complet Compute Cloud
Grupo o (Amazon EC2)
de IAM
Solo Bucket de Amazon
Define a qué recursos se puede acceder Usuario de lectura Simple Storage
IAM, grupo de Service (Amazon
IAM o rol de Políticas S3)
Política y el nivel de acceso a cada uno de estos IAM de IAM
de IAM recursos.
Mecanismos para otorgar acceso
temporal para realizar solicitudes de
Rol de IAM servicios de AWS. Que puede ser
asumido por una persona, aplicación o
servicio.

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 9
Permisos de IAM

Cómo IAM determina los

permisos en el momento de la
Política de IAM solicitud:
¿Está el
¿Está el
Los permisos se especifican en una política de permiso
No permiso No Denegar
explícitamen
IAM: te
explícitamen
te permitido? Denegaci
denegado ?
• Un documento tiene formato JavaScript Object ón
Sí Sí
Notation (JSON). implícita
• Define qué recursos y operaciones están Denegar Permitir
permitidos
• Práctica recomendada: siga el principio de
mínimo privilegio
• Existen dos tipos de políticas:
• Basada en la identidad: adjuntar a una entidad principal
de IAM
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 10
Políticas basadas en la identidad frente a políticas
basadas en recursos

Políticas basadas en Políticas basadas en

identidad recursos
• Adjunta a un usuario, grupo o • Adjunta a recursos de AWS
rol • Ejemplo: adjuntar a un bucket de
• Tipos de políticas Amazon S3

• Administradas por AWS • Siempre una política

• Administradas por el cliente
insertada
• Insertadas
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 11
Estructura del documento de política de IAM
{ • Efecto: el efecto puede ser permitir o denegar
"Version": "2012-10-17",
"Statement":[{ • Acción: tipo de acceso que se permite o deniega
"Effect": "effect",
"Action": "s3:GetObject"
"Action": "action",
"Resource": "arn",
• Recurso: recursos sobre los que actuará la acción
"Condition":{
"condition":{
"Resource": "arn:aws:sqs:us-west-2:123456789012:queue1"
"key": "value"
}
• Condición: condiciones que deben cumplirse para que se
} aplique
}] la regla
}
"Condition" : {
"StringEquals": {
"aws:username" : "johndoe"
}
}
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 12
ARN y comodines

• Los recursos se identifican usando el formato Amazon Resource

Name (ARN)
• Sintaxis : arn:partition:service:region:account:resource
• Ejemplo: “Resource”: “arn:aws:iam::123456789012:user/mmajor”
• Puede utilizar un comodín (*) para
brindar acceso a todas las acciones
para un servicio específico de AWS.
• Ejemplos:
• “Action”: “s3:*”
• “Action”: “iam:*AccessKey*”

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 13
Ejemplo de política de IAM

{
"Version": "2012-10-17", Explicit allow (permiso explícito)
"Statement":[{ concede a los usuarios acceso a una tabla
"Effect":"Allow", específica de DynamoDB y a…
"Action":["DynamoDB:*","s3:*"],
"Resource":[
"arn:aws:dynamodb:region:account-number-without-hyphens:table/table-name",
"arn:aws:s[Link]ucket-name",
…buckets de Amazon S3.
"arn:aws:s[Link]ucket-name/*"]
},
{ Explicit deny (denegación explícita) garantiza que
"Effect":“Deny", los usuarios no puedan utilizar otras acciones o recursos
"Action":["dynamodb:*","s3:*"], de AWS que no sean esa tabla y esos buckets.
"NotResource":["arn:aws:dynamodb:region:account-number-without-hyphens:table/table-name”,
"arn:aws:s[Link]ucket-name",
"arn:aws:s[Link]ucket-name/*"]
}
Un enunciado de denegación explícita
]
}
prevalece sobre un enunciado de
permiso.
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 14
 Actividad:
análisis de las
políticas de IAM

Foto de Pixabay de Pexels.

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 15
Actividad: análisis de las políticas (1 de 3)
Considere esta política de IAM y luego responda las preguntas.
1. ¿A qué servicio de AWS le otorga acceso esta
{ política?
"Version": "2012-10-17", 2. ¿Le permite crear un usuario, grupo, política o rol
"Statement": { de IAM?
"Effect": "Allow", 3. Vaya a
"Action": [ [Link]
"iam:Get*",
y en el panel de navegación izquierdo expanda
"iam:List*"
Reference > Policy Reference > Actions, Resources,
], and Condition Keys. Seleccione Identity and Access
"Resource": "*" Management. Desplácese hasta la lista Actions
} Defined by Identity And Access Management .
} Nombre al menos tres acciones específicas que
permite
la acción iam:Get*

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 16
Actividad: análisis de la política de IAM (1 de 3) -
Respuestas
Considere esta política de IAM y luego responda las preguntas.
1. ¿A qué servicio de AWS le otorga acceso esta política?
{ • RESPUESTA: El servicio de IAM.
"Version": "2012-10-17", 2. ¿Le permite crear un usuario, grupo, política o rol de
"Statement": { IAM?
"Effect": "Allow", • RESPUESTA: No. El acceso está limitado a
"Action": [ solicitudes get y list. Otorga efectivamente
permisos de solo lectura.
"iam:Get*",
"iam:List*" 3. Vaya a
[Link]
], y en el panel de navegación izquierdo expanda
"Resource": "*" Reference > Policy Reference > Actions, Resources,
} and Condition Keys. Seleccione Identity and Access
} Management. Desplácese hasta la lista Actions
Defined by Identity And Access Management.

Nombre al menos tres acciones específicas que

permite
la acción iam:Get*
• RESPUESTA: iam:Get* permite muchas acciones
específicas,
© 2022, Amazon Web Services, Inc. o sus filiales. incluidas
Todos los derechos GetGroup, GetPolicy,
reservados. 17
Actividad: análisis de la política de IAM (2 de 3)
Considere esta política de IAM y luego responda las preguntas.
1. ¿Le permite la política terminar cualquier instancia EC2
en cualquier momento sin condiciones?
2. ¿Se le permite hacer la llamada de terminación de
instancia desde cualquier lugar?
3. ¿Puede terminar instancias si realiza la llamada desde
un servidor que tiene asignada una dirección IP de
[Link]?

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 18
Actividad: análisis de la política de IAM (2 de 3) -
Respuestas
Considere esta política de IAM y luego responda las preguntas según se
presentan.
1. ¿Le permite la política terminar cualquier instancia
EC2 en cualquier momento sin condiciones?
• RESPUESTA: No. El primer objeto del enunciado lo
permite. Sin embargo, el segundo objeto del
enunciado aplica una condición.
2. ¿Se le permite hacer la llamada de terminación de
instancia desde cualquier lugar?
• RESPUESTA: No. Solo puede realizar la solicitud
desde uno de los dos rangos de direcciones IP que
se especifican en aws:SourceIp.
3. ¿Puede terminar instancias si realiza la llamada desde
un servidor que tiene asignada una dirección IP de
[Link]?
• RESPUESTA: Sí, porque el rango de direcciones IP
de enrutamiento entre dominios sin clase (CIDR)
[Link]/24 incluye las direcciones IP [Link]
a [Link]. Se puede utilizar un recurso como
la herramienta CIDR to IP Range para calcular el
rango de un bloque de CIDR.
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 19
Actividad: análisis de la política de IAM (3 de 3)
Considere esta política de IAM y luego responda las preguntas.
{ 1. ¿Qué acciones permite la política?
“Version”: “2012-10-17”,
2. Supongamos que la política incluye un objeto de
“Statement”:[{
“Condition”: {
enunciado adicional, como este ejemplo:
“StringNotEquals”: { {
“ec2:InstanceType”: [ “Effect”: “Allow”,
“[Link]”, “Action”: “ec2:*”,
“[Link]” “Resource”: “*”
]
}
}
}, ¿Cómo restringiría la política el acceso que le otorga
“Resource”: “arn:aws:ec2:*:*:instance/*”, este enunciado adicional?
“Action”: [
“ec2:RunInstances”, 3. Si la política incluyera tanto el enunciado de la
“ec2:StartInstances” izquierda como el enunciado en la pregunta 2, ¿podría
], terminar una instancia [Link] que existía en la
“Effect”: “Deny” cuenta?
}
]

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 20
Actividad: análisis de la política de IAM (3 de 3)
Considere esta política de IAM y luego responda las preguntas.
{ 1. ¿Qué acciones permite la política?
“Version”: “2012-10-17”, • RESPUESTA: No le permite hacer nada (el efecto es
“Statement”:[{ Denegar).
“Condition”: { 2. Supongamos que la política incluye un objeto de enunciado
“StringNotEquals”: { adicional, como este ejemplo:
“ec2:InstanceType”: [ {
“[Link]”,
“Effect”: “Allow”,
“[Link]”
“Action”: “ec2:*”,
] “Resource”: “*”
} }
},
“Resource”: “arn:aws:ec2:*:*:instance/*”, ¿Cómo restringiría la política el acceso que le otorga este
“Action”: [ enunciado adicional?
“ec2:RunInstances”, • RESPUESTA: Tendría acceso completo al servicio Amazon
“ec2:StartInstances” EC2. Sin embargo, solo se le permitiría lanzar o iniciar
], instancias EC2 del tipo de instancia [Link] o [Link].
“Effect”: “Deny” 3. Si la política incluyera tanto el enunciado de la izquierda como
} el enunciado en la pregunta 2, ¿podría terminar una instancia
] [Link] que existía en la cuenta?
• RESPUESTA: Sí.

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 21
AWS CloudTrail

• Registra y supervisa la actividad del usuario

• Proporciona un historial de eventos de la cuenta de
AWS
• Acciones realizadas a través de la Consola de administración
de AWS, SDK, AWS CLI
• Aumenta la visibilidad de la actividad de sus usuarios y
recursos
AWS CloudTrail • Historial de eventos de 90 días proporcionado de forma
predeterminada, sin costo
• Identificar
• Quién accedió a su cuenta
• Cuándo y desde dónde
• Qué acción tomaron en un servicio de AWS
• Herramienta útil para
• Realizar análisis de la seguridad
• Descubrir qué llamadas fueron bloqueadas
(por ejemplo,
© 2022, por políticas
Amazon Web Services, de Todos
Inc. o sus filiales. IAM)
los derechos reservados. 22
 • Evite usar el usuario raíz de la cuenta para
Conclusiones tareas comunes. En cambio, cree y utilice las
importantes credenciales de usuario de IAM.
de la Sección 2 • Los permisos para acceder a los recursos de
la cuenta de AWS se definen en uno o más
documentos de la política de IAM.
• Adjuntar políticas de IAM a usuarios, grupos
o roles de IAM.

• Cuando IAM determina los permisos, una

denegación explícita siempre anulará
cualquier enunciado de permiso.

• Es una práctica recomendada seguir el

principio de mínimo privilegio cuando
conceda acceso.
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 23
Sección 3: organización
de usuarios
Módulo 8: protección del acceso de los
usuarios y las aplicaciones

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservado
Grupos de IAM
Utilice los grupos de IAM para otorgar los
mismos derechos de acceso para varios Enfoque único para
administrar el
usuarios.
acceso.
Política Usuario Acceder
Adjunto a
• Todos los usuarios de un grupo heredan A de IAM de IAM al recurso

los permisos que asignó al grupo

• Facilita la administración del acceso entre Política
múltiples usuarios. B de IAM

Usuario Enfoque más

Sugerencia: Combine enfoques para de IAM
manejable.
un acceso individual detallado miembro
de
• Agregue el usuario a un grupo para aplicar
el acceso estándar según la función de trabajo
Política
A de IAM
Adjunto a
Grupo
de IAM
Acceder
al recurso

• Opcionalmente adjunte una política adicional

al usuario para las excepciones necesarias
Política
B de IAM
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 25
Ejemplo de grupos de IAM

Sugerencia: Cree grupos que reflejen las funciones

Cuenta
de AWS
de trabajo

Grupo de IAM:
Administradores
Grupo de IAM:
Desarrolladores
Grupo de IAM:
Prueba
• Si se contrata a un nuevo desarrollador,
agréguelo
al grupo Desarrollador
Li Mateo Ana • Hereda de inmediato el mismo acceso otorgado
a otros desarrolladores

Paulo Shirley Zhang • Si Ana asume el nuevo rol de desarrolladora -

• Elimínela del grupo Prueba
Sofía Juana • Agréguela al grupo Desarrollador

• Los usuarios pueden pertenecer a más de un

grupo
• Sin embargo, se aplicará la política más restrictiva
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 26
Caso práctico para IAM con Amazon S3

La política de IAM otorga acceso Bucket con directorios

de lectura, escritura y lista principales para cada
para empleado y un área
Adjunto /awsexamplebucket/home/zhang
Desarrollador a compartida para
grupos.
Usuario
de IAM
Zhang
Miembro
de

Grupo
de IAM

La política de IAM otorga acceso

de lectura, escritura y lista
para
/awsexamplebucket/share/developers
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 27
Sección 4: federación
de usuarios
Módulo 8: protección del acceso de los usuarios
y las aplicaciones

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservado
Roles de IAM
• Características del rol de IAM Cuenta de AWS
• Proporciona credenciales de seguridad temporales. 2
Usuario
• No se encuentra asociado únicamente con una persona de IAM
• Puede ser asumido por una persona, aplicación o servicio.
• A menudo se utiliza para delegar el acceso
• Casos prácticos Cuenta de AWS 1
3
• Proporcionar recursos de AWS con acceso Rol Bucke
a servicios de AWS utilizado t de
• Proporcionar acceso a usuarios autenticados Usuario para S3
Rol de IAM acceder
externamente asumido
por
• Proporcionar acceso a terceros 2 Instancia de
• Cambiar de roles para acceder a recursos en - Adjunto
EC2 (con
aplicación)
• Su cuenta de AWS a
Rol de IAM 1 Política de IAM
• Cualquier otra cuenta de AWS (acceso entre cuentas)

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 29
Demostración:
Perfil de
instancia EC2

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 30
Otorgar permisos para asumir un rol

• Para que un usuario, aplicación o servicio de IAM asuma un

rol, debe otorgar permisos para cambiar al rol

• AWS Security Token Service (AWS STS)

• Servicio web que permite solicitar credenciales temporales con
privilegios limitados
AWS Security
Token Service • Las credenciales pueden ser utilizadas por los usuarios de IAM o
por usuarios que usted autentique (usuarios federados)
(AWS STS)
• Política de ejemplo: permite que un usuario de IAM asuma
un rol
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::123456789012:role/Test*"
}
}

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 32
Control de acceso basado en roles (RBAC)
Enfoque tradicional para control de
acceso:

• Otorgar a los usuarios permisos específicos

basados en la función del trabajo (como,
por ejemplo, administrador de base de
datos)
Usuarios Permisos Recursos
• Crear un rol de IAM distinto para cada
combinación de permisos

• Actualizar permisos agregando acceso para

cada nuevo recurso (puede llevar mucho
tiempo seguir actualizando las políticas)

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 33
Práctica recomendada: etiquetado
• Una etiqueta consta de un nombre
y (opcionalmente) un valor • Las etiquetas también se pueden aplicar
• Se puede aplicar a recursos en todas sus a usuarios de IAM o roles de IAM, por
cuentas de AWS ejemplo -
• Las claves y los valores de las etiquetas se
entregan a través de diferentes operaciones
API
• Definir etiquetas personalizadas
• Múltiples usos prácticos
• Facturación, vistas filtradas, control de
acceso, etc.
• Etiquetas de ejemplo aplicadas a una
instancia EC2:
• Nombre = servidor web
• Proyecto = unicornio
• Pila = dev © 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 34
Control de acceso basado en atributos (ABAC)
• Enfoque altamente escalable para control
de acceso
• Los atributos son una clave o un par clave-valor,
como
por ejemplo una etiqueta
• Ejemplo de atributos -
• Equipo = Desarrolladores
• Proyecto = Unicornio

• Las reglas de permisos (política) son más

fáciles de mantener con ABAC que con RBAC
• Beneficios
• Los permisos se aplican automáticamente, según
los atributos
Usuarios Permisos Recursos
• Los permisos granulares son posibles sin una
actualización de permisos para cada usuario o
recurso nuevo
• Completamente auditable

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 35
Aplicar ABAC a su organización
Cómo aplicar ABAC a su organización:
1. Establecer atributos de control de acceso
en identidades

2. Requerir atributos para recursos nuevos Maria

3. Configurar permisos basados en atributos

4. Probar

a) Crear recursos nuevos Usuarios Permisos Recursos

b) Verificar que los permisos se aplican
automáticamente
Equipo = Desarrolladores
Proyecto = Unicornio

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 36
Usuarios autenticados externamente
Federación de identidades Opciones de federación de identidades
• Autenticación del usuario completada por 1. AWS STS
un sistema que es externo a la cuenta de • Proveedores de servicio de identidades públicas
AWS (IdP)

• Ejemplo: directorio corporativo • Aplicación de agente de identidades

personalizada
• Proporciona una forma de permitir el acceso 2. Lenguaje de marcado para confirmaciones de
seguridad (SAML)
a través de las identidades existentes, sin
3. Amazon Cognito
crear usuarios de IAM
Descripción general de autenticación de IdP

El usuario accede El agente de Solicita credenciales Credenciales

al agente de identidades temporales temporales
identidades a autentica al de AWS STS devueltas
través de la usuario a la aplicación
aplicación

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 37
Federación de identidades con un agente de
identidades

Cliente Nube de AWS

Aplicación
1 El Servicios de AWS
usuario
accede al 4 El usuario accede
agente a los servicios o
consola de AWS
Inicio de sesión
El agente recupera las único (SSO)
credenciales de seguridad
2 Usuario 3 temporales de STS y las
autenticado pasa IAM
a la aplicación del usuario

AWS STS
Almacén de Agente de
identidades identidades
corporativo
Rol Política

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 38
 Federación de identidades a través de SAML

Confirmación publicada
Cliente para iniciar sesión en Nube de AWS IAM
4 punto de enlace para Rol
El usuario
1 navega
SAML
AWS STS Política
a una URL Punto de enlace
de inicio de
Redirigido a la sesión para SAML
5 consola
3
El IdP
IdP devuelve la
2 confirmación
autentica al
usuario SAML

Almacén de Portal (IdP)

identidades
(LDAP o Microsoft
Active Directory)

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 39
Amazon Cognito
Amazon Cognito es un servicio completamente
administrado.

• Proporciona autenticación, autorización y

administración de usuarios para sus aplicaciones
web y móviles

• Amazon Cognito proporciona federación de

Amazon identidades web
Cognito • Se pueden utilizar como el agente de identidades
que admite IdP que sean compatibles con OpenID
Connect (OIDC)

• Identidades federadas
• Los usuarios inician sesión con proveedores de
identidad social (Amazon, Facebook, Google)
o con SAML.

• Grupos de usuarios
• Puede mantener un directorio con tokens de
actualización de perfiles de usuario
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 40
Ejemplo de Amazon Cognito

Nube de AWS
1 Autenticar y obtener tokens 2 Redirigir o
devolver

Federación de IdP
Grupo de usuarios Token de IdP
Intercambiar tokens por de Amazon
3 credenciales de AWS Cognito

Aplicación Credenciales de AWS

web o móvil Grupo de identidades
de Amazon Cognito
Acceder a los servicios de
4 AWS con credenciales
Servicios de AWS

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 41
 • Los roles de IAM proporcionan credenciales
Conclusiones de seguridad temporales que puede asumir
importantes una persona, aplicación o servicio
de la Sección 4 • El AWS Security Token Service (AWS STS) le
permite solicitar credenciales temporales de
AWS
• Con la federación de identidades, la
autenticación del usuario es externa a la
cuenta de AWS
• Se logra a través de AWS STS, SAML o Amazon
Cognito

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 42
Sección 5: Varias cuentas
Módulo 8: protección del acceso de los usuarios
y las aplicaciones

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservado
¿Una cuenta o varias cuentas?
Dos patrones de arquitectura
Múltiples VPC en un sola cuenta
• La mayoría de las organizaciones optan
Patrón de arquitectura
por crear varias cuentas Cuenta de AWS

Ventajas de varias cuentas VPC VPC VPC VPC

Servicios compartidos Desarrollo Prueba Producción
• Aislar unidades de negocio o
departamentos
• Aislar entornos de desarrollo, prueba
y producción Varias cuentas, un VPC en cada
• Aislar datos de auditoría, datos de cuenta
recuperación Cuenta de AWS Patrón
Cuenta de de
AWSarquitectura
Cuenta de AWS Cuenta de AWS

• Cuentas independientes para cargas de VPC VPC VPC VPC

trabajo reguladas Servicios compartidos Desarrollo Prueba Producción

• Es más fácil activar alertas de costos

para
el consumo de cada unidad de negocio
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 44
Desafíos para administrar varias cuentas
• Administración de seguridad entre
cuentas
• Replicación de políticas de IAM

• Creación de cuentas nuevas

• Implica muchos procesos manuales

• Consolidación de facturación

• Se necesita gobernanza centralizada

para garantizar la coherencia

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 45
Administra varias cuentas con AWS Organizations

Administrar y aplicar políticas de manera centralizada

entre varias cuentas de AWS.

• Administración de cuentas basada en grupos

AWS • Acceso a los servicios de AWS basado en políticas
Organizations • Administración y creación automatizada de
cuentas
• Facturación unificada
• Basado en API

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 46
AWS Organizations: ilustradas
¿A qué cuentas se aplica cada SCP?
En la cuenta principal
Nube de AWS
de AWS Organizations:
1. Crear una jerarquía Cuenta principal Cuentas miembro
de unidades Cuenta de
AWS Organizations A
organizativas (OU) AWS

OU TI Cuenta 1
2. Asignar cuentas Raí
interna
a OU como cuentas z Cuenta de
A
miembro AWS
A OU de Cuenta 2
3. Definir políticas de Política SCP ingeniería
Cuenta de
control de servicios A AWS
A B
(SCP) que apliquen OU de Cuenta 3
restricciones de B desarrollo
Cuenta de
permisos a cuentas Política SCP AWS A
miembro B Cuenta
OU de producción
específicas 4 Cuenta de
C A C
AWS
4. Adjuntar los SPC a Política SCP C Cuenta 5
la raíz, OU o
cuentas
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 47
Ejemplos de usos de SCP
• Características de las políticas de control de servicios
(SCP)
• Le permiten controlar a qué servicios pueden acceder los usuarios de IAM en
cuentas miembro
• El administrador local no puede anular los SCP
• Las políticas de IAM definidas en cuentas individuales aún se aplican

• Ejemplos de usos de SCP

• Crear una política que bloquee el acceso al servicio o acciones específicas
Ejemplo: impedir que los usuarios deshabiliten AWS CloudTrail
en todas las cuentas miembro
• Crear una política que permita el acceso completo a servicios específicos
Ejemplo: permitir el acceso completo a Amazon EC2 y CloudWatch
• Crear una política que imponga el etiquetado de los recursos

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 48
 • Puede utilizar varias cuenta de AWS para
Conclusiones aislar unidades de negocio, entornos de
importantes desarrollo
de la Sección 5 y pruebas, cargas de trabajo reguladas y
datos
de auditoría

• AWS Organizations le permite configurar la

creación automatizada y la facturación
unificada

• Puede configurar controles de acceso entre

cuentas a través de políticas de control de
servicios (SCP)

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 49
 Módulo 8.
Laboratorio de
desafíos:
control del
acceso a las
cuentas de AWS
mediante IAM

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 50
La necesidad empresarial: control de acceso de
usuarios

La cafetería debe definir qué nivel

de acceso deben tener los
usuarios entre los recursos de la
nube. Luego, deben implementar
estos controles de acceso en la
cuenta de AWS.

Cuando Mateo visitó la cafetería

recientemente, le contó a Sofía
acerca de las funciones del
servicio
de IAM. Ella planifica utilizar IAM
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 51
Laboratorio de desafíos: tareas
1. Configuración de un grupo de IAM con políticas y un usuario
de IAM
2. Inicio de sesión como Nikhil y prueba del acceso
3. Configuración de IAM para el acceso de usuarios
administradores
de bases de datos
4. Inicio de sesión como administrador de la base de datos
y resolución del problema de conectividad de la base de
datos
5. Uso del Simulador de políticas de IAM y creación de una
política
de IAM personalizada con el editor visual
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 52
Laboratorio de desafíos: producto final
Nube de AWS
Región Almacén de
parámetros
Recursos de IAM

CafeRole: adjunto a la Subred pública

instancia de EC2
vocuser
(Sofía)
Acceso
a Cloud9 Instancia DEV de Instancia PROD
Grupo de IAM la aplicación de de la aplicación
miembro AppDevelopers asociado la cafetería de la de la cafetería de
de
instancia de EC2 la instancia de
Nikhil Políticas de IAM EC2
Subred privada 1
Instancia
Grupo de IAM RDS
miembro DBAdministrators asociado MariaDB
de

Políticas de IAM Subred privada 2

Olivia

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 53
~ 80 minutos

Comenzar el Módulo 8:
laboratorio de desafíos:
control del acceso a las
cuentas de AWS
mediante IAM

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 54
 Análisis
posterior del
laboratorio
de desafíos:
Aprendizajes
clave

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 55
Conclusión del módulo
Módulo 8: protección del acceso de los
usuarios y las aplicaciones

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservado
Resumen del módulo
En resumen, en este módulo aprendió a hacer lo siguiente:
• Explicar el propósito de los usuarios, los grupos y los roles de
AWS Identity and Access Management (IAM)
• Describir cómo se permite la federación de usuarios dentro de una
arquitectura para mejorar la seguridad
• Reconocer cómo las políticas de control de servicios (SCP) de AWS
Organizations potencian la seguridad dentro de una arquitectura
• Describir cómo administrar varias cuentas de AWS
• Configurar usuarios de IAM

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 57
Completar la evaluación de conocimientos

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 58
 Pregunta de examen de ejemplo
Una empresa almacena una clave de acceso (ID de clave de acceso y clave de acceso secreta) en un
archivo de texto en una AMI personalizada. La empresa utiliza la clave de acceso para acceder a las
tablas de DynamoDB
de instancias creadas a partir de la AMI. El equipo de seguridad ha exigido una solución más segura.

¿Qué solución cumplirá la exigencia del equipo de seguridad?

Opción Respuesta
Colocar la clave de acceso en un bucket S3 y recuperarla al arrancar desde la
A
instancia.
Pasar la clave de acceso a las instancias a través de los datos del usuario de la
B
instancia.

C Obtener la clave de acceso de un servidor de claves iniciado en una subred privada.

Crear un rol de IAM con permisos para acceder a la tabla e iniciar todas las instancias
D con
el nuevo rol.

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 59
Respuesta a la pregunta de examen de ejemplo
Una empresa almacena una clave de acceso (ID de clave de acceso y clave de acceso secreta) en un
archivo de texto en una AMI personalizada. La empresa utiliza la clave de acceso para acceder a las
tablas de DynamoDB
de instancias creadas a partir de la AMI. El equipo de seguridad ha exigido una solución más segura.

¿Qué solución cumplirá la exigencia del equipo de seguridad?

La respuesta correcta es la opción D.
Las palabras clave en la pregunta son “almacenar una clave de acceso”, “tablas de
DynamoDB de instancias”, “AMI personalizada” y “solución más segura”.

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 60
Recursos adicionales
• Marco de AWS Well-Architected: pilar de seguridad
• Preguntas frecuentes de IAM
• Vídeo sobre creación de políticas de IAM
• Vídeo de identidad en diferentes capas
• Proveedores de identidad y federación

© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 61
Gracias

¿Desea hacer correcciones, comentarios u otras preguntas?

Contáctenos en
[Link]
Todas las marcas comerciales pertenecen a sus propietarios.
© 2022, Amazon Web Services, Inc. o sus filiales. Todos los derechos reservados. 62