IAM: El Guardabarrera de tu Cuenta AWS
Identity and Access Management (IAM) es el servicio mas importante de AWS. Controla quien puede hacer que en tu cuenta. Una mala configuracion de IAM es la causa numero uno de brechas de seguridad en cloud. Antes de tocar cualquier otro servicio, debes dominar IAM.
Componentes de IAM
| Componente | Que es | Ejemplo |
|---|---|---|
| User | Persona o aplicacion con credenciales | developer-juan |
| Group | Coleccion de usuarios con mismos permisos | developers, admins |
| Role | Identidad temporal asumible | ec2-s3-read-role |
| Policy | Documento JSON con permisos | S3ReadOnlyAccess |
| MFA | Autenticacion multifactor | Google Authenticator |
// Policy JSON: Permitir lectura S3 en un bucket especifico
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mi-bucket-datos",
"arn:aws:s3:::mi-bucket-datos/*"
]
}
]
}Buenas Practicas de IAM
- Principio de minimo privilegio: Solo los permisos estrictamente necesarios.
- Nunca usar root: Crea un usuario IAM admin y guarda las credenciales root bajo llave.
- MFA obligatorio: Para todos los usuarios, especialmente admin.
- Usar Roles sobre Users: Los roles son temporales y mas seguros que access keys permanentes.
- Auditar regularmente: AWS Access Analyzer identifica permisos excesivos.
🚀 Dato Clave
NUNCA pongas access keys en codigo fuente. Usa IAM Roles para EC2 y Lambda, OIDC para CI/CD (GitHub Actions), y AWS SSO para acceso humano. Si ves access keys en un commit, rotalas INMEDIATAMENTE.
# AWS CLI: Configurar perfil
aws configure --profile mi-proyecto
# Listar usuarios IAM
aws iam list-users --profile mi-proyecto
# Crear policy custom
aws iam create-policy \
--policy-name S3ReadOnly \
--policy-document file://policy.json
IAM bien configurado es tu primera linea de defensa. No lo subestimes.