Crear usuario administrador IAM


Crear usuario IAM en AWS, Vamos a realizar una de las practicas de creación de usuarios IAM desde la consola, que podemos encontrar en la documentación de Amazon,

oscar Escrito por oscar 11 August 2022 1251 0

Acerca del proyecto

Vamos a realizar una de las practicas de creación de usuarios IAM desde la consola, que podemos encontrar en la documentación de Amazon, la idea es poder seguir el paso a paso y replicarlo para entender y explicar la gestión de usuarios en amazon.

Conocimiento previo

Para realizar este proyecto se requiere conocimiento previo de los siguientes temas, si aun no has trabajado con lo que se menciona en la siguiente tabla, allí están los links a los post para que puedas dar un repaso adicional o puedas recordar el conocimiento necesario para poder realizar este proyecto.

Proyecto Descripción
Identidades de IAM Recomendamos leer este post donde se explica cada una de las identidades de amazon y que relación tienen una con otra.
Inicie sesión en AWS Es la documentación oficial en donde se explica como iniciar sesión en amazon aws.
Creación del primer usuario y grupo de usuarios administradores de IAM Este procedimiento describe cómo utilizar la consola de administración de AWS para crear un usuario de IAM para usted y agregar ese usuario a un grupo de usuarios que tenga permisos administrativos de una política administrada adjunta.

Identidades de IAM

Para entender como amazon gestiona los usuarios, accesos permisos y políticas, debemos entender las identidades que puede administrar, en este apartado no vamos a detallar cada definición, vamos a mencionar los puntos importantes que mencionar en la documentación oficial.

Usuario raíz de la cuenta

Al crear una cuenta en AWS con un correo electrónico, este se asocia a una única identidad de sesión que tiene acceso completo a todos los servios, esta recibiendo el nombre de usuario raíz.

Ahora amazon AWS tiene varias prácticas recomendadas de seguridad en IAM las cuales se recomienda que lean, vamos a mencionar las mas importantes:

  • No usar el usuario raíz en sus tareas cotidianas, en su lugar, crear un usuario IAM de tipo administrador.
  • Genere la autenticación MFA multi-factor authentication.
  • Rotar las claves de acceso con regularidad para casos de uso que requieren credenciales a largo plazo.
  • Revise y elimine regularmente usuarios, roles, permisos, directivas y credenciales no utilizados.

Usuarios de IAM

Es una entidad que se crea en AWS que puede representar una persona o un servicio que puede utilizar el usuario IAM para interactuar con AWS, su uso principal es el iniciar sesión en la consola de administración y poder hacer uso de los servicios.

Un usuario puede tener políticas de seguridad, roles o grupos de roles para poder acceder o restringir los distintos servicios.

Grupos de usuarios de IAM

Un grupo de usuarios IAM es un conjunto de usuarios, los cuales se les puede especificar permisos para varios usuarios, lo que puede facilitar la administración de los permisos para dichos usuarios.

A continuación, algunas características importantes de los grupos de usuarios:

  • Un grupo de usuarios puede incluir muchos usuarios y un usuario puede pertenecer a varios grupos de usuarios.
  • Los grupos de usuarios no pueden anidarse; solo pueden incluir usuarios y no otros grupos de usuarios.
  • No hay ningún grupo de usuarios predeterminado que incluya automáticamente todos los usuarios de la Cuenta de AWS. Si desea tener un grupo de usuarios de este tipo, debe crearlo y asignarle cada nuevo usuario.
  • El número y tamaño de recursos de IAM de un Cuenta de AWS, como el número de grupos y el número de grupos de los que un usuario puede ser miembro, son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS, requisitos de nombre y límites de caracteres.

Roles de IAM

Credenciales temporales de IAM

Crear usuario administrador IAM

El siguiente procedimiento va a mencionar el paso a paso de cómo crear un usuario en AWS desde la consola. Él usuario a crear tendrá permisos administrativos por medio de una política de seguridad que estará asignada a un grupo de usuario.

Iniciar sesión

Vamos a iniciar sesión en la consola de AIM como propietario de la cuenta de usuario raíz.

AWS iniciar sesión
AWS iniciar sesión

Habilitar el acceso a los datos de facturación para el usuario administrador

Cómo se menciona en las siguientes imágenes, al activar permite a los usuarios y roles IAM acceder a la consola de administración de costos y facturación, recomendamos que lea atenta mente las indicaciones que mencionan antes de activar esta funcionalidad.

Vamos a acceder a la cuenta, en la barra de navegación, elija el nombre de su cuenta, a continuación, elija Cuenta

Acceder a cuenta
Acceder a cuenta

Vamos a buscar la sección "Acceso de usuarios y roles de IAM a la información de facturación", damos en editar donde nos mostrará una casilla para seleccionar como se observa en la siguiente imagen:

Acceso de usuarios y roles de IAM
Acceso de usuarios y roles de IAM
Habilitar acceso de usuarios y roles de IAM
Habilitar acceso de usuarios y roles de IAM

Despues de activar la casilla damos en guardar, en esta pantalla no tenemos que hacer cambios por el momento.

Agrear un usuario

Procedemos a crear un usuarios IAM nuevo, este primer usuarios sera el administrador, como vimos en el apartado identidades de IAM seguiremos las recomendaciones para trabajar con la consola de aws.

IAM panel de control
IAM panel de control

En el menú de la parte derecha vamos a encontrar el ítem de usuarios, damos click en donde ingresamos al panel de los usuarios, en este panel encontrara:

  • En este panel encontrará el listado de los usuarios creados.
  • Boton de crear nuevos usuarios.
  • Boton para eliminar usuarios.
  • Al dar click sobre un usuario del listado, podrá acceder al resumen del mismo, donde podrá editar.
Panel de usuarios IAM
Panel de usuarios IAM

Al dar click en el boton de agregar usuario, abrirá una nueva ventana donde nos indicara los pasos que debemos seguir para crear en nuevo usuario.

Los datos que necesitamos son el nombre del usuario, en este campo podemos crear varios usuarios para agilizar el proceso.

En la selección de tipo de acceso de AWS tenemos estas opciones, en la imagen y en la misma consola podemos leer que hace cada ítem.

  • Selección de tipo de credenciales AWS
  • Contraseña de la consola
  • Requiere restablecimiento de contraseña
Ventana creación usuario
Ventana creación usuario
Ventana creación usuario con datos
Ventana creación usuario con datos

Agrear grupos a usuario

El siguiente paso es agregar un grupo a los usuarios, podemos continuar si no tenemos un grupo creado o no queremos que este usuario pertenezca a un grupo.

Como se mencionan en las identidades de amazon Grupos de usuarios de IAM Los grupos de usuarios le permiten especificar permisos para varios usuarios, en este caso, crearemos un grupo para los administradores, para ver el ejemplo de cómo se crea y se asigna.

Agrear grupos
Agrear grupos

Procedemos a crear un nuevo grupo dando click en el boton de “crear un grupo” donde nos abrirá una nueva ventana, en este ventana realizamos los siguientes pasos:

  • Nombre del grupo, colocamos el nombre como lo vamos a identificar, en este caso sera Administrators.
  • En las políticas, vamos a buscar la política “AdministratorAccess” y la seleccionamos con el check.

Por ultimo elija Crear grupo.

Crear nuevo grupo
Crear nuevo grupo
Asignar grupo
Asignar grupo

De vuelta en la página con la lista de grupos de usuarios, seleccione la casilla de verificación para su nuevo grupo de usuarios. Elija Actualizar si no ve el nuevo grupo de usuarios en la lista.

Continuamos con el siguiente paso que es: Etiquetas.

Etiquetas

En la página Etiquetas , agregue metadatos al usuario adjuntando etiquetas como pares clave-valor.

Asignar etiquetas
Asignar etiquetas

Resumen de creación usuario

Al llegar a la ultima pantalla, podemos ver un resumen de creación de usuarios, y cada una de las acciones que se han realizado en los pasos anteriores, podemos continuar o dar atrás si queremos modificar algún dato.

Resumen de creación de usuario
Resumen de creación de usuario

Cuando esté listo para continuar, elija Crear usuario.

Si todo ha salido correctamente, mostrará una pantalla con los usuarios o el usuario creado, con algunos datos adicionales, al volver al listado de usuarios los debemos ver todos los usuarios creados.

Usuario creado
Usuario creado
Listado de usuarios creados
Listado de usuarios creados

Iniciar sesión con nuevo usuario

Después de crear el nuevo usuario, en el listado de usuarios damos click en el nombre, esto nos cargara el resumen del usuario seleccionado, en esta pantalla vamos a buscar la pestaña de "credenciales de seguridad" donde vamos a obtener el enlace que nos cargara el login especial con el id de la consola de la compañía.

Ficha del usuario
Ficha del usuario
Link acceso a consola
Link acceso a consola

Este link debe tener el identificador de la consola de la compañía: https://000000000549.signin.aws.amazon.com/console

Al colocarlo en el navegador, cargara la consola de AWS con la pantalla de login para los usuarios IAM,

Iniciar sesión usuario IAM
Iniciar sesión usuario IAM

Cómo es el primer inicio de sesión, pedirá que cambiemos las contraseña, esto se da por que al crear el usuario dejamos marcado el campo de "el usuario debe crear una contraseña nueva en el próximo inicio de sesión".

Iniciar sesión administrador cambio de contraseña
Iniciar sesión administrador cambio de contraseña

Despues de cambiar la primera contraseña, redireccionara al dashboard del usuario administrador

Dashboard usuario administrador
Dashboard usuario administrador

Comentario

Debe aceptar antes de enviar