Los permisos en Amazon IAM te permiten especificar el acceso a recursos de AWS. Las entidades IAM (usuarios, grupos y funciones) otorgan los permisos y, de manera predeterminada, estas entidades comienzan sin permisos. Es decir, las entidades IAM no pueden hacer nada en AWS hasta que usted les otorgue los permisos correspondientes.
Para brindar permisos a entidades, puede adjuntar una política que especifique el tipo de acceso, las acciones que se pueden realizar y los recursos en los que se pueden implementar las acciones. Además, puede especificar cualquier condición que deba definirse para que el acceso se otorgue o niegue.
Las políticas te dan la oportunidad de ajustar los privilegios otorgados a usuarios, grupos y roles de IAM. Como las políticas se almacenan en formato JSON, se pueden usar junto con un sistema de control de versiones. Es una buena idea definir el acceso de privilegios mínimos para cada usuario, grupo o rol. Luego, puedes personalizar el acceso a recursos específicos mediante una Política de Autorización.
Al determinar si se permite el permiso, IAM primero verifica una política de denegación explícita. Si no existe una, entonces busca una política de permiso explícita. Si no existe una política de denegación explícita o una política de acceso explícita, IAM revierte al valor predeterminado a denegación implícita.
Supongamos que tu empresa es nueva en Amazon AWS y tiene un empleada, llamada Lorena, que es la administradora de la base de datos de la empresa. Nosotros como administradores del entorno de Amazon AWS queremos que Lorena pueda usar y administrar todos los servicios de la base de datos pero sin darle todos los permisos administrativos.
En este escenario, podemos usar la política administrada de AWS llamada administrador de la base de datos. Esta política otorga permisos de visualización, lectura, escritura y administración para RDS, DynamoDB, Amazon Redshift, ElastiCache y otros servicios de AWS que un administrador de bases de datos pueda necesitar.
La política del administrador de la base de datos pasa varios roles para varios casos de uso. Sin embargo, para que el usuaria Lorena pueda aprovechar otras funciones de monitorizarían de las base de datos, Lorena necesita acceso de las funciones que requieren otro servicio, debe crear una función de servicio y otorgarle permisos.
En este escenario, hay otra usuaria llamada Alicia que solo quiere supervisar las bases de datos RDS. Para permitir que Alicia supervise las bases de datos RDS, debes crear una función llamada rds-monitoring-role y asignar los permisos necesarios a la función.
Gracias por leer nuestro blog, participar y compartir.
