http://labs.rofriday.com/03_iam/index.htmlAWS te da el control y la confianza para operar tu negocio de manera segura en la nube, aprovechando la infraestructura más flexible y robusta disponible. Como cliente, te beneficiás de centros de datos y una red diseñada para proteger tu información, identidades, aplicaciones y dispositivos. Con AWS IAM (Identity and Access Management) podés gestionar quién accede y qué puede hacer dentro de tu entorno AWS, alineando seguridad y conformidad con automatización y foco en la innovación. Pagás solo por lo que usás y todos los clientes de AWS acceden a una cadena de suministro y servicios revisados para los estándares de seguridad más exigentes.Hugoen-UShttp://labs.rofriday.com/03_iam/1_iam_lab/index.htmlMon, 01 Jan 0001 00:00:00 +0000http://labs.rofriday.com/03_iam/1_iam_lab/index.htmlInformación general de AWS Identity & Access Management (IAM) AWS Identity and Access Management (IAM) es el servicio que te permite definir y controlar quién se autentica (login) y quién tiene autorización (permisos) para acceder a los recursos de AWS. Cuando creás una cuenta de AWS, arrancás con un usuario raíz que tiene acceso total. No se recomienda usar este usuario para tareas diarias. Creá usuarios de IAM según las mejores prácticas y asignales permisos mínimos necesarios.http://labs.rofriday.com/03_iam/2_tags/index.htmlMon, 01 Jan 0001 00:00:00 +0000http://labs.rofriday.com/03_iam/2_tags/index.htmlEn este laboratorio vas a lanzar dos instancias Amazon Linux 2: una para desarrollo y otra para producción, utilizando etiquetas para distinguir los entornos. Pasos para lanzar la instancia de producción Ingresá a la Consola de EC2. Seleccioná EC2 Dashboard en el menú izquierdo y hacé clic en Launch instances. En Name (Nombre), ingresá: prod-instance Hacé clic en Add additional tags y luego en Add tag. En Key (Clave): Env En Value (Valor): prod Seleccioná la imagen predeterminada de Amazon Linux 2 y el tipo de instancia t2.micro. En Key pair (login), seleccioná Proceed without a key pair. Hacé clic en Launch instance. Pasos para lanzar la instancia de desarrollo Repetí los pasos anteriores, pero usando los siguientes valores:http://labs.rofriday.com/03_iam/3_identities/index.htmlMon, 01 Jan 0001 00:00:00 +0000http://labs.rofriday.com/03_iam/3_identities/index.htmlEn este capítulo vas a crear identidades de AWS IAM: usuarios, grupos y roles de IAM, además de una política personalizada para controlar permisos sobre recursos EC2 etiquetados. Pasos del laboratorio Crear una política IAM personalizada Crear un grupo de usuarios llamado dev-group Crear un usuario dev-user y asociarlo al grupo 1️⃣ Crear una política IAM personalizada Ingresá a la Consola de IAM. En el menú izquierdo, seleccioná Policies y hacé clic en Create policy. Seleccioná la pestaña JSON y pegá la siguiente política: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Env": "dev" } } }, { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "ec2:DeleteTags", "ec2:CreateTags" ], "Resource": "*" } ] }http://labs.rofriday.com/03_iam/4_test_access/index.htmlMon, 01 Jan 0001 00:00:00 +0000http://labs.rofriday.com/03_iam/4_test_access/index.htmlValidar los permisos asignados es fundamental para garantizar que las políticas de IAM funcionen como corresponde. En este paso vas a comprobar, con tu usuario dev-user, que solo podés gestionar las instancias EC2 a las que te habilita la política. Pasos para probar acceso con IAM Ingresá a la consola de AWS con dev-user. Verificá el alias de cuenta, el usuario y la región donde lanzaste las instancias. Ir a EC2 > Instances y localizar:http://labs.rofriday.com/03_iam/5_assign_role/index.htmlMon, 01 Jan 0001 00:00:00 +0000http://labs.rofriday.com/03_iam/5_assign_role/index.htmlEn este ejercicio vas a crear y asociar un rol de IAM a una instancia EC2, validando permisos diferenciados sobre buckets de S3. Pasos del laboratorio Volvé a iniciar sesión como usuario administrador. Crear buckets de S3: Accedé a la consola de S3. Creá dos buckets: iam-test-<tu_usuario> y iam-test-other-<tu_usuario>. Subí un archivo a cada bucket. Crear el rol de IAM: Desde la consola de IAM, seleccioná Roles > Create role. Elegí EC2 como entidad de confianza. En permisos, creá una política personalizada con el siguiente JSON (ajustá el nombre del bucket): { "Version": "2012-10-17", "Statement": [ { "Action": ["s3:ListAllMyBuckets", "s3:GetBucketLocation"], "Effect": "Allow", "Resource": ["arn:aws:s3:::*"] }, { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::iam-test-<tu_usuario>/*", "arn:aws:s3:::iam-test-<tu_usuario>" ] } ] } Guardá la política como IAMBucketTestPolicy. Asociá la política al nuevo rol IAMBucketTestRole. Asociar el rol a la instancia EC2:http://labs.rofriday.com/03_iam/6_clean_up/index.htmlMon, 01 Jan 0001 00:00:00 +0000http://labs.rofriday.com/03_iam/6_clean_up/index.htmlRealizá la limpieza de recursos para evitar costos y dejar la cuenta en estado inicial. EC2 Eliminá las instancias dev-instance y prod-instance desde la consola de EC2. IAM Grupos de usuarios: eliminá dev-group. Usuarios: eliminá dev-user. Roles: eliminá IAMBucketTestRole. Políticas: eliminá DevPolicy e IAMBucketTestPolicy. S3 Eliminá los buckets iam-test-user_name y iam-test-other-user_name desde la consola de S3. Importante: Antes de borrar iam-test-user_name, primero vaciá (Empty) el bucket. Dejá tu cuenta limpia para próximos laboratorios y evitá cargos innecesarios.