Administre sus usuarios de IAM de manera adecuada mediante grupos: CloudSavvy IT

logotipo de aws iam

IAM le permite otorgar acceso administrado a sus recursos de AWS a sus empleados, servicios de AWS y programas que se ejecutan en servidores remotos. Los grupos de IAM son una herramienta de organización útil que le permite definir permisos para varios usuarios a la vez.

Herramientas organizativas de IAM

En primer lugar, un desglose rápido de las diferentes herramientas de IAM:

Las políticas de IAM agrupan permisos individuales para formar un objeto cohesivo que se puede aplicar a usuarios, roles y grupos. Por ejemplo, puede crear una política que permita el acceso para colocar objetos en un conjunto específico de depósitos de S3.

Los usuarios de IAM tienen claves de acceso o contraseñas que les permiten acceder a los servicios de AWS desde la CLI, la API o la consola de administración. Esto permite que los empleados puedan acceder a los recursos de AWS desde fuera de su cuenta de AWS. Pueden tener políticas adjuntas a su cuenta, lo que les otorga permisos.

Los roles de IAM son similares a los de los usuarios, pero no incluyen ninguna clave de acceso. Estos se utilizan para otorgar permiso a otros servicios de AWS para usar sus recursos y no otorgan acceso a la API o CLI a nadie fuera de su cuenta. Por ejemplo, puede otorgar a una instancia EC2 un rol que le permita acceder a S3 y, como ya se está ejecutando en su cuenta de AWS, puede actuar como el rol sin requerir claves de acceso.

AWS Organizations es una herramienta especial que le permite dividir su cuenta raíz de AWS en hasta cuatro subcuentas diferentes con facturación y control centralizados. Aunque técnicamente no está relacionado con IAM, esto le permite separar completamente los entornos de desarrollo, pruebas, preparación y producción, lo que puede permitirle otorgar permisos de IAM más laxos a los empleados que trabajan solo en el entorno de desarrollo.

Los grupos de IAM es lo que discutiremos hoy. Esta herramienta le permite adjuntar varias políticas a un grupo y agregar usuarios a ese grupo, que recibirán las mismas políticas que tiene el grupo. Es una gran herramienta organizativa y fundamental para realizar un seguimiento de varios usuarios.

Cómo trabajar con grupos

Los grupos le permiten distinguir diferentes clases de empleados con diferentes permisos. Por ejemplo, supongamos que tiene un equipo de desarrolladores de software y un equipo de ingenieros de control de calidad. Ambos tienen requisitos diferentes y, como tales, necesitan permisos diferentes. Establecerlos en el grupo le permite configurar fácilmente nuevos empleados con acceso o mover usuarios entre equipos cuando surja la necesidad.

Cree un nuevo grupo en la pestaña «Grupos» del Consola de administración de IAM.

Cree un nuevo grupo desde la pestaña "Grupos".

Asígnele un nombre y adjunte las políticas que desee. Los grupos pueden tener un máximo de 10 políticas adjuntas, por lo que es probable que desee crear una política personalizada o dos para este grupo. También puede agregar políticas en línea directamente al grupo, pero le recomendamos que utilice una política regular para mantener todo ordenado.

Nombre el grupo y adjunte las políticas que desee.

Haga clic en «Crear», y esa es toda la configuración que se requiere. Puede agregar un nuevo usuario al grupo desde la pestaña «Usuarios» del grupo:

agregar usuarios al grupo

O, si está automatizando su proceso de incorporación, puede hacerlo desde la línea de comandos con:

aws iam add-user-to-group --group-name <value> --user-name <value>

Esto agregará los permisos del grupo a los permisos actuales del usuario en una categoría separada. Si elimina al usuario del grupo, los permisos del grupo dejarán de aplicarse.

No puede crear subgrupos, pero los usuarios se pueden incluir en varios grupos a la vez. Con esto en mente, puede crear un grupo de “Desarrolladores” que asigne permisos básicos y un grupo de “Desarrolladores senior” que otorgue más permisos, luego asignarlos a un empleado para otorgarles ambos conjuntos de permisos.

Los grupos no anulan los permisos

En IAM, no hay forma de que un permiso «anule» otro permiso. De forma predeterminada, todo está implícitamente denegado y un usuario solo tendrá acceso a los servicios que están explícitamente permitidos por una política de permisos. También puede optar por negar explícitamente permisos a un usuario. Estos permisos siempre tendrán prioridad sobre cualquier otro permiso, independientemente de que provenga o no de un usuario o grupo.

Cuando crea un grupo, todos los permisos de los grupos interactúan con los permisos del usuario de la misma manera que lo harían si estuvieran adjuntos directamente al usuario. No hay jerarquía.

Por ejemplo, crearemos un usuario de prueba y adjuntaremos el AWSDenyAll política directamente a él. También crearemos un grupo, adjunte el AdministratorAccess permiso a ese grupo y agregue el usuario a ese grupo.

políticas de iam

Desde IAM Policy Simulator, todo aparece como explícitamente denegado debido a la presencia del AWSDenyAll política. Si cambiamos las cosas y colocamos la política Denegar en el grupo y la política Permitir directamente en el usuario, sucede lo mismo. Denegar siempre anulará Permitir.

simulador de políticas de iam negando todo

Una forma más útil de esto son los límites de permisos. En lugar de negar explícitamente todo lo que no desea que un usuario pueda hacer, incluso si el grupo dice que puede, puede establecer una política como límite de permisos. Esto tendrá prioridad sobre todos los demás permisos adjuntos al usuario, tanto de grupos como directamente, y no permitirá nada que el límite de permisos tampoco permita.

Diagrama de permisos de Venn.

Básicamente, esto funciona como un diagrama de permisos de Venn, y solo permite acciones que se superponen tanto a los permisos permitidos explícitamente de las políticas adjuntas como al límite de permisos.

Deja un comentario

En esta web usamos cookies para personalizar tu experiencia de usuario.    Política de cookies
Privacidad