Acerca del proyecto
Vamos a realizar una de las practicas de creación de usuarios IAM desde la consola, que podemos encontrar en la documentación de Amazon, la idea es poder seguir el paso a paso y replicarlo para entender y explicar la gestión de usuarios en amazon.
Conocimiento previo
Para realizar este proyecto se requiere conocimiento previo de los siguientes temas, si aun no has trabajado con lo que se menciona en la siguiente tabla, allí están los links a los post para que puedas dar un repaso adicional o puedas recordar el conocimiento necesario para poder realizar este proyecto.
Proyecto | Descripción |
---|---|
Identidades de IAM | Recomendamos leer este post donde se explica cada una de las identidades de amazon y que relación tienen una con otra. |
Inicie sesión en AWS | Es la documentación oficial en donde se explica como iniciar sesión en amazon aws. |
Creación del primer usuario y grupo de usuarios administradores de IAM | Este procedimiento describe cómo utilizar la consola de administración de AWS para crear un usuario de IAM para usted y agregar ese usuario a un grupo de usuarios que tenga permisos administrativos de una política administrada adjunta. |
Identidades de IAM
Para entender como amazon gestiona los usuarios, accesos permisos y políticas, debemos entender las identidades que puede administrar, en este apartado no vamos a detallar cada definición, vamos a mencionar los puntos importantes que mencionar en la documentación oficial.
Usuario raíz de la cuenta
Al crear una cuenta en AWS con un correo electrónico, este se asocia a una única identidad de sesión que tiene acceso completo a todos los servios, esta recibiendo el nombre de usuario raíz.
Ahora amazon AWS tiene varias prácticas recomendadas de seguridad en IAM las cuales se recomienda que lean, vamos a mencionar las mas importantes:
- No usar el usuario raíz en sus tareas cotidianas, en su lugar, crear un usuario IAM de tipo administrador.
- Genere la autenticación MFA multi-factor authentication.
- Rotar las claves de acceso con regularidad para casos de uso que requieren credenciales a largo plazo.
- Revise y elimine regularmente usuarios, roles, permisos, directivas y credenciales no utilizados.
Usuarios de IAM
Es una entidad que se crea en AWS que puede representar una persona o un servicio que puede utilizar el usuario IAM para interactuar con AWS, su uso principal es el iniciar sesión en la consola de administración y poder hacer uso de los servicios.
Un usuario puede tener políticas de seguridad, roles o grupos de roles para poder acceder o restringir los distintos servicios.
Grupos de usuarios de IAM
Un grupo de usuarios IAM es un conjunto de usuarios, los cuales se les puede especificar permisos para varios usuarios, lo que puede facilitar la administración de los permisos para dichos usuarios.
A continuación, algunas características importantes de los grupos de usuarios:
- Un grupo de usuarios puede incluir muchos usuarios y un usuario puede pertenecer a varios grupos de usuarios.
- Los grupos de usuarios no pueden anidarse; solo pueden incluir usuarios y no otros grupos de usuarios.
- No hay ningún grupo de usuarios predeterminado que incluya automáticamente todos los usuarios de la Cuenta de AWS. Si desea tener un grupo de usuarios de este tipo, debe crearlo y asignarle cada nuevo usuario.
- El número y tamaño de recursos de IAM de un Cuenta de AWS, como el número de grupos y el número de grupos de los que un usuario puede ser miembro, son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS, requisitos de nombre y límites de caracteres.
Roles de IAM
Credenciales temporales de IAM
Crear usuario administrador IAM
El siguiente procedimiento va a mencionar el paso a paso de cómo crear un usuario en AWS desde la consola. Él usuario a crear tendrá permisos administrativos por medio de una política de seguridad que estará asignada a un grupo de usuario.
Iniciar sesión
Vamos a iniciar sesión en la consola de AIM como propietario de la cuenta de usuario raíz.
Habilitar el acceso a los datos de facturación para el usuario administrador
Cómo se menciona en las siguientes imágenes, al activar permite a los usuarios y roles IAM acceder a la consola de administración de costos y facturación, recomendamos que lea atenta mente las indicaciones que mencionan antes de activar esta funcionalidad.
Vamos a acceder a la cuenta, en la barra de navegación, elija el nombre de su cuenta, a continuación, elija Cuenta
Vamos a buscar la sección "Acceso de usuarios y roles de IAM a la información de facturación", damos en editar donde nos mostrará una casilla para seleccionar como se observa en la siguiente imagen:
Despues de activar la casilla damos en guardar, en esta pantalla no tenemos que hacer cambios por el momento.
Agrear un usuario
Procedemos a crear un usuarios IAM nuevo, este primer usuarios sera el administrador, como vimos en el apartado identidades de IAM seguiremos las recomendaciones para trabajar con la consola de aws.
En el menú de la parte derecha vamos a encontrar el ítem de usuarios, damos click en donde ingresamos al panel de los usuarios, en este panel encontrara:
- En este panel encontrará el listado de los usuarios creados.
- Boton de crear nuevos usuarios.
- Boton para eliminar usuarios.
- Al dar click sobre un usuario del listado, podrá acceder al resumen del mismo, donde podrá editar.
Al dar click en el boton de agregar usuario, abrirá una nueva ventana donde nos indicara los pasos que debemos seguir para crear en nuevo usuario.
Los datos que necesitamos son el nombre del usuario, en este campo podemos crear varios usuarios para agilizar el proceso.
En la selección de tipo de acceso de AWS tenemos estas opciones, en la imagen y en la misma consola podemos leer que hace cada ítem.
- Selección de tipo de credenciales AWS
- Contraseña de la consola
- Requiere restablecimiento de contraseña
Agrear grupos a usuario
El siguiente paso es agregar un grupo a los usuarios, podemos continuar si no tenemos un grupo creado o no queremos que este usuario pertenezca a un grupo.
Como se mencionan en las identidades de amazon Grupos de usuarios de IAM Los grupos de usuarios le permiten especificar permisos para varios usuarios, en este caso, crearemos un grupo para los administradores, para ver el ejemplo de cómo se crea y se asigna.
Procedemos a crear un nuevo grupo dando click en el boton de “crear un grupo” donde nos abrirá una nueva ventana, en este ventana realizamos los siguientes pasos:
- Nombre del grupo, colocamos el nombre como lo vamos a identificar, en este caso sera Administrators.
- En las políticas, vamos a buscar la política “AdministratorAccess” y la seleccionamos con el check.
Por ultimo elija Crear grupo.
De vuelta en la página con la lista de grupos de usuarios, seleccione la casilla de verificación para su nuevo grupo de usuarios. Elija Actualizar si no ve el nuevo grupo de usuarios en la lista.
Continuamos con el siguiente paso que es: Etiquetas.
Etiquetas
En la página Etiquetas , agregue metadatos al usuario adjuntando etiquetas como pares clave-valor.
Resumen de creación usuario
Al llegar a la ultima pantalla, podemos ver un resumen de creación de usuarios, y cada una de las acciones que se han realizado en los pasos anteriores, podemos continuar o dar atrás si queremos modificar algún dato.
Cuando esté listo para continuar, elija Crear usuario.
Si todo ha salido correctamente, mostrará una pantalla con los usuarios o el usuario creado, con algunos datos adicionales, al volver al listado de usuarios los debemos ver todos los usuarios creados.
Iniciar sesión con nuevo usuario
Después de crear el nuevo usuario, en el listado de usuarios damos click en el nombre, esto nos cargara el resumen del usuario seleccionado, en esta pantalla vamos a buscar la pestaña de "credenciales de seguridad" donde vamos a obtener el enlace que nos cargara el login especial con el id de la consola de la compañía.
Este link debe tener el identificador de la consola de la compañía: https://000000000549.signin.aws.amazon.com/console
Al colocarlo en el navegador, cargara la consola de AWS con la pantalla de login para los usuarios IAM,
Cómo es el primer inicio de sesión, pedirá que cambiemos las contraseña, esto se da por que al crear el usuario dejamos marcado el campo de "el usuario debe crear una contraseña nueva en el próximo inicio de sesión".
Despues de cambiar la primera contraseña, redireccionara al dashboard del usuario administrador