Apuntes

Aquí encontrarás mis apuntes para aprobar la certificación de AWS Cloud Practitioner

La seguridad en AWS

AWS Identity and Access Management

También conocido como IAM cuyo panel de gestión

(https://console.aws.amazon.com/iam) conecta con todas las herramientas de administración que necesitarás para gestionar los aspectos básicos de la seguridad de las cuentas.

Protegiendo el usuario raíz

Por cuestiones prácticas el usuario raíz tiene permisos para realizar cualquier tarea en la cuenta.


La forma más sencilla de proteger el usuario raíz es crear una contraseña compleja y activar el MFA (MultiFactor Authentication) y para la mayoría de tareas administrativas usar usuarios IAM en lugar del usuario raíz.

Usuarios, grupos y roles

Es una buena práctica de seguridad evitar usar el usuario raíz para las tareas administrativas y usar para ello usuarios IAM con el principio del minimo privilegio.

Roles

Los roles de IAM definen los límites de lo que se puede hacer dentro de su cuenta de AWS.


La diferencia importante es que, a diferencia de los usuarios y los grupos, los roles son, en su mayor parte, utilizados por las aplicaciones y los servicios en lugar de por las personas.


Cuando se crea un rol, se empieza por definir una entidad de confianza -la entidad (o beneficiario) en la que se confiará para utilizar el rol.


Esa entidad puede ser un servicio de AWS (como EC2), una identidad proporcionada por un proveedor de identificación federada de terceros (como Google o Amazon Cognito, que permiten vincular una identidad digital a través de múltiples sistemas de gestión de identidad), o una cuenta de AWS diferente.

Proporcionar acceso federado

Puedes integrar en su infraestructura estándares de terceros como el Security Assertion Markup Language 2.0 (SAML) o el Directorio Activo de Microsoft en su infraestructura.


Esto le permite utilizar las sesiones de inicio de sesión de los usuarios para añadir el inicio de sesión único (SSO) en su infraestructura de AWS y permitir el acceso sin fisuras entre sus aplicaciones móviles y los recursos de backend como las bases de datos de DynamoDB u objetos basados en S3.


El acceso federado a los recursos de AWS puede gestionarse a través del servicio AWS Single Sign-On.


Para la integración de Active Directory con cargas de trabajo basadas en MS SharePoint, .NET y SQL Server basadas en la nube, se debe utilizar el servicio de directorio de AWS para Microsoft Active Directory (más conocido como AWS Microsoft AD).