Casos de uso empresarial para IAM - AWS Identity and Access Management

Casos de uso empresarial para IAM

Un caso de uso empresarial sencillo para IAM puede ayudarle a comprender formas básicas de implementar el servicio para controlar el acceso a AWS que los usuarios tienen. El caso de uso se describe en términos generales, sin los mecanismos de cómo utilizaría la API de IAM para lograr los resultados que desea.

Este caso de uso se centra en dos formas habituales en las que una compañía ficticia, llamada Example Corp, podría utilizar IAM. El primer escenario considera Amazon Elastic Compute Cloud (Amazon EC2). El segundo considera Amazon Simple Storage Service (Amazon S3).

Para obtener más información sobre cómo utilizar IAM con otros servicios de AWS, consulte Servicios de AWS que funcionan con IAM.

Configuración inicial de Example Corp

Nikki Wolf y Mateo Jackson son los fundadores de Example Corp. Al iniciar la empresa, crean una cuenta de Cuenta de AWS y configuran AWS IAM Identity Center (IAM Identity Center) para crear cuentas administrativas que utilizarán con sus recursos de AWS. Al configurar el acceso a la cuenta para el usuario administrativo, IAM Identity Center crea el rol de IAM correspondiente. Este rol, controlado por IAM Identity Center, se crea en la cuenta de Cuenta de AWS correspondiente y se le adjuntan las políticas especificadas en el conjunto de permisos AdministratorAccess.

Como ahora tienen cuentas de administrador, Nikki y Mateo ya no tienen que usar su usuario raíz para acceder a su cuenta de Cuenta de AWS. Planean utilizar el usuario raíz únicamente para hacer las tareas que solo él puede llevar a cabo. Después de revisar las prácticas recomendadas de seguridad, configuran la autenticación multifactor (MFA) para sus credenciales de usuario raíz y deciden cómo proteger sus credenciales de usuario raíz.

A medida que su empresa crece, contratan empleados para trabajar como desarrolladores, administradores, evaluadores, gestores y administradores de sistemas. Nikki se encarga de las operaciones, mientras que Mateo dirige los equipos de ingeniería. Configuraron un servidor de dominio de Active Directory para administrar las cuentas de los empleados y gestionar el acceso a los recursos internos de la empresa.

Para que sus empleados tengan acceso a los recursos de AWS, utilizan IAM Identity Center para conectar Active Directory de su empresa a su cuenta de Cuenta de AWS.

Al haber conectado Active Directory con IAM Identity Center, los usuarios, el grupo y la pertenencia a grupos están sincronizados y definidos. -Deben asignar conjuntos de permisos y roles a los distintos grupos para dar a los usuarios el nivel correcto de acceso a los recursos AWS. Utilizan Managed Policies de AWS para funciones de trabajo en la AWS Management Console para crear estos conjuntos de permisos:

  • Administrador

  • Facturación

  • Desarrolladores

  • Administradores de red

  • Administradores de base de datos

  • Administradores de sistemas

  • Usuarios de asistencia

A continuación, asignan estos conjuntos de permisos a los roles asignados a sus grupos de Active Directory.

Para obtener una guía paso a paso que describe la configuración inicial de IAM Identity Center, consulte Getting started (Introducción) en la Guía del usuario de AWS IAM Identity Center. Para obtener más información sobre el aprovisionamiento del acceso de usuario de IAM Identity Center, consulte Single sign-on access to AWS accounts (Acceso de inicio de sesión único a cuentas de AWS) en la AWS IAM Identity Center User Guide (Guía del usuario de AWS IAM Identity Center).

Caso de uso para IAM con Amazon EC2

Una compañía como Example Corp suele utilizar IAM para interactuar con servicios como Amazon EC2. Para comprender esta parte del caso de uso, necesita tener unos conocimientos básicos de Amazon EC2. Para obtener más información sobre Amazon EC2, consulte la Guía del usuario de Amazon EC2 para instancias de Linux.

Permisos de Amazon EC2 para los grupos de usuarios

Para proporcionar un control del "perímetro", Nikki asocia una política al grupo de usuarios AllUsers. Esta política deniega cualquier solicitud de AWS de un usuario si la dirección IP de origen se encuentra fuera de la red corporativa de Example Corp.

En Example Corp, los distintos grupos de usuarios requieren permisos diferentes:

  • Administradores del sistema - Necesitan permiso para crear y administrar imágenes AMI, instancias, instantáneas, volúmenes, grupos de seguridad, etc. Nikki asocia una política administrada AmazonEC2FullAccess de AWS al grupo de usuarios SysAdmins que concede a sus miembros permiso para utilizar todas las acciones de Amazon EC2.

  • Desarrolladores - Necesitan la capacidad de trabajar únicamente con instancias. Por lo tanto, Mateo crea y asocia al grupo de usuarios de desarrolladores una política que permite a estos llamar a DescribeInstances, RunInstances, StopInstances, StartInstances y TerminateInstances.

    nota

    Amazon EC2 utiliza claves SSH, contraseñas de Windows y grupos de seguridad para controlar quién tiene acceso al sistema operativo de determinadas instancias Amazon EC2. No existe ningún método en el sistema de IAM para permitir o denegar el acceso al sistema operativo de una determinada instancia.

  • Asistencia a los usuarios: no deberían llevar a cabo ninguna acción de Amazon EC2 excepto la enumeración de los recursos de Amazon EC2 actualmente disponibles. Por lo tanto, Nikki crea y asocia al grupo de asistencia a los usuarios una política que solo les permite invocar operaciones de API “Describe” de Amazon EC2.

Para obtener ejemplos de cómo podrían parecer estas políticas, consulte Ejemplos de políticas basadas en identidad de IAM y Utilización de AWS Identity and Access Management en la Guía del usuario de Amazon EC2 para instancias de Linux.

Cambio de función de trabajo del usuario

En algún momento, uno de los desarrolladores, Paulo Santos, cambia de función de trabajo y se convierte en administrador. Como gestor, Paulo pasa a formar parte del grupo de usuarios de asistencia para poder abrir casos de asistencia para sus desarrolladores. Mateo traslada a Paulo desde el grupo de usuarios de desarrolladores al grupo de usuarios de asistencia. Como resultado de este movimiento, su capacidad para interactuar con las instancias de Amazon EC2 es limitada. No puede lanzar ni iniciar instancias. Tampoco puede detener o terminar las instancias existentes, aunque fue el usuario que lanzó o inició la instancia. Solo puede enumerar las instancias que los usuarios de Example Corp han lanzado.

Caso de uso para IAM con Amazon S3

Las compañías como Example Corp normalmente también utilizarían IAM con Amazon S3. John ha creado un bucket de Amazon S3 para la empresa denominado aws-s3-bucket.

Creación de otros usuarios y grupos de usuarios

Como empleados, Zhang Wei y Mary Major deben poder crear sus propios datos en el bucket de la empresa. También necesitan leer y escribir datos compartidos en los que trabajan todos los desarrolladores. Para ello, Mateo organiza de forma lógica los datos de aws-s3-bucket con un esquema de prefijo de clave de Amazon S3 como el que se muestra en la siguiente figura.

/aws-s3-bucket /home /zhang /major /share /developers /managers

Mateo divide el /aws-s3-bucket en un conjunto de directorios principales para cada empleado y un área compartida para los grupos de desarrolladores y administradores.

Ahora, Mateo crea un conjunto de políticas para asignar permisos a los usuarios y grupos de usuarios:

  • Acceso al directorio principal de Zhang: Mateo asocia una política a Wei que le permite leer, escribir y enumerar cualquier objeto con el prefijo de clave /aws-s3-bucket/home/zhang/ de Amazon S3

  • Acceso al directorio principal de Major: Mateo asocia una política a Mary que le permite leer, escribir y enumerar cualquier objeto con el prefijo de clave /aws-s3-bucket/home/major/ de Amazon S3

  • Acceso al directorio compartido para el grupo de usuarios de desarrolladores: Mateo asocia una política al grupo de usuarios que permite a los desarrolladores leer, escribir y enumerar cualquier objeto de /aws-s3-bucket/share/developers/

  • Acceso al directorio compartido para el grupo de usuarios de administradores: Mateo asocia una política al grupo de usuarios que permite a los administradores leer, escribir y enumerar objetos de /aws-s3-bucket/share/managers/

nota

Amazon S3 no concede automáticamente a un usuario que crea un bucket u objeto permiso para realizar otras acciones en dicho bucket u objeto. Por lo tanto, en sus políticas de IAM debe conceder de forma explícita a los usuarios permiso para utilizar los recursos de Amazon S3 que creen.

Para obtener ejemplos de cómo pueden lucir estas políticas, consulte Control de acceso en la Guía del usuario de Amazon Simple Storage Service. Para obtener información sobre cómo las políticas se evalúan en tiempo de ejecución, consulte Lógica de evaluación de políticas.

Cambio de función de trabajo del usuario

En algún momento, uno de los desarrolladores, Zhang Wei, cambia de función de trabajo y se convierte en administrador. Supongamos que ya no necesita acceso a los documentos del directorio share/developers. Mateo, como administrador, traslada a Wei al grupo de usuarios Managers desde el grupo de usuarios Developers. Con tan solo una sencilla reasignación, Wei consigue automáticamente todos los permisos concedidos al grupo de usuarios Managers, pero ya no puede obtener acceso a los datos del directorio share/developers.

Integración con un negocio de terceros

Las organizaciones suelen trabajar con compañías asociadas, asesores y contratistas. Example.Corp tiene un socio denominado Widget Company y una empleada de esta empresa llamada Shirley Rodriguez necesita colocar datos en un bucket para que los utilice Example Corp. Nikki crea un grupo de usuarios denominado WidgetCo y un usuario denominado Shirley y agrega a Shirley al grupo de usuarios WidgetCo. Nikki también crea un bucket especial llamado aws-s3-bucket1 para que Shirley lo use.

Nikki actualiza las políticas existentes o agrega otras nuevas para integrar al socio Widget Company. Por ejemplo, Nikki puede crear una política nueva que deniega a los miembros del grupo de usuarios WidgetCo la posibilidad de utilizar acciones que no sean de escritura. Esta política solo sería necesaria si hubiera una política amplia que ofreciera a todos los usuarios acceso a un amplio conjunto de acciones de Amazon S3.