Amazon Web Services (AWS)

Tutorial Completo de AWS IAM: Guía Práctica de Seguridad en la Nube para Certificación 2025

por kleverlh on 25 de abril de 2025
# Tutorial Completo de AWS IAM

Domina la gestión de identidades y accesos en AWS con este tutorial completo sobre IAM, esencial para la certificación y la implementación segura

AWS IAM Seguridad en la Nube Certificación AWS Gestión de Permisos Políticas y Roles Tutorial Práctico
Contenido

Introducción a AWS IAM

AWS Identity and Access Management (IAM) es un servicio web que ayuda a controlar de forma segura el acceso a los recursos de AWS. Con IAM, puedes crear y administrar usuarios, grupos y roles de AWS, así como controlar el acceso a los servicios y recursos de AWS mediante permisos.

¿Por qué usar AWS IAM?
  • Control granular de acceso a servicios y recursos
  • Identidades federadas y acceso temporal
  • Autenticación multifactor (MFA)
  • Análisis de acceso para refinar permisos
  • Integración con prácticamente todos los servicios de AWS
  • Servicio gratuito

Tutorial paso a paso

1 Acceder a la consola de AWS IAM

  1. Inicia sesión en la consola de AWS
  2. Busca «IAM» en la barra de búsqueda o navega a través de Servicios > Seguridad, Identidad y Conformidad > IAM

2 Configurar acceso seguro a tu cuenta

  1. En el panel IAM, revisa el «Estado de seguridad» en la sección superior
  2. Sigue las recomendaciones sobre las prácticas recomendadas:
    • Activar MFA en la cuenta root
    • Crear usuarios IAM individuales
    • Utilizar grupos para asignar permisos
    • Aplicar una política de contraseñas

3 Crear un grupo de IAM

  1. En el menú lateral, selecciona «Grupos de usuarios»
  2. Haz clic en «Crear nuevo grupo»
  3. Proporciona un nombre para el grupo (por ejemplo, «Administradores», «Desarrolladores» o «OperacionesS3»)
  4. Haz clic en «Siguiente paso»
  5. Adjunta políticas administradas según los permisos necesarios (por ejemplo, «AdministratorAccess» para administradores)
  6. Revisa la configuración y haz clic en «Crear grupo»

4 Crear un usuario de IAM

  1. En el menú lateral, selecciona «Usuarios»
  2. Haz clic en «Añadir usuario»
  3. Proporciona un nombre de usuario
  4. Selecciona el tipo de acceso:
    • «Acceso programático» para uso con API, CLI, SDK
    • «Acceso a la consola de AWS» para acceso web
  5. Si seleccionas acceso a la consola, elige una opción de contraseña
  6. Haz clic en «Siguiente: Permisos»
  7. Selecciona «Añadir usuario al grupo» y elige el grupo que creaste anteriormente
  8. Haz clic en «Siguiente: Etiquetas» (opcional)
  9. Agrega etiquetas clave-valor si es necesario para organización
  10. Haz clic en «Siguiente: Revisar»
  11. Revisa la configuración y haz clic en «Crear usuario»
  12. Descarga o guarda las credenciales (esta es la única vez que verás la clave de acceso secreta)

5 Crear una política personalizada

  1. En el menú lateral, selecciona «Políticas»
  2. Haz clic en «Crear política»
  3. Selecciona el servicio (por ejemplo, «S3»)
  4. Selecciona las acciones permitidas (por ejemplo, «ListBucket», «GetObject»)
  5. Especifica los recursos a los que se aplica la política (ARN del bucket o «*» para todos)
  6. Establece condiciones si son necesarias
  7. Haz clic en «Revisar política»
  8. Proporciona un nombre y descripción para la política
  9. Haz clic en «Crear política»

También puedes crear políticas directamente en JSON. Por ejemplo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::nombre-del-bucket"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::nombre-del-bucket/*"
        }
    ]
}

6 Crear un rol de IAM

  1. En el menú lateral, selecciona «Roles»
  2. Haz clic en «Crear rol»
  3. Selecciona el tipo de entidad de confianza:
    • «Servicio de AWS» (para servicios como EC2, Lambda)
    • «Otra cuenta de AWS» (para acceso entre cuentas)
    • «Proveedor de identidad web» (para federación)
  4. Si seleccionas «Servicio de AWS», elige el servicio que asumirá el rol
  5. Haz clic en «Siguiente: Permisos»
  6. Selecciona las políticas que quieres adjuntar al rol
  7. Haz clic en «Siguiente: Etiquetas» (opcional)
  8. Haz clic en «Siguiente: Revisar»
  9. Proporciona un nombre y descripción para el rol
  10. Revisa la configuración y haz clic en «Crear rol»

7 Configurar MFA para un usuario

  1. En el menú lateral, selecciona «Usuarios»
  2. Selecciona el usuario al que quieres añadir MFA
  3. Ve a la pestaña «Credenciales de seguridad»
  4. En la sección «Autenticación multifactor (MFA)», haz clic en «Administrar»
  5. Haz clic en «Asignar dispositivo MFA»
  6. Selecciona el tipo de dispositivo MFA:
    • Aplicación de autenticación virtual
    • Llave de seguridad
    • Dispositivo MFA de hardware
  7. Sigue las instrucciones para configurar el dispositivo seleccionado
  8. Haz clic en «Añadir MFA»

Caso práctico: Configuración de acceso seguro para una aplicación

Vamos a configurar un entorno de acceso seguro para una aplicación web que utiliza S3 para almacenamiento y DynamoDB para su base de datos.

1 Definir los requisitos de acceso

  • La aplicación necesita leer y escribir en un bucket de S3 específico
  • La aplicación necesita leer y escribir en tablas específicas de DynamoDB
  • Los desarrolladores necesitan acceso para depuración
  • Los operadores necesitan acceso para monitoreo

2 Crear la política para la aplicación

  1. Ve a «Políticas» y haz clic en «Crear política»
  2. Usa el editor JSON para crear una política como esta:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": "arn:aws:s3:::app-bucket-name"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::app-bucket-name/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:GetItem",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": [
                "arn:aws:dynamodb:*:*:table/AppTable1",
                "arn:aws:dynamodb:*:*:table/AppTable2"
            ]
        }
    ]
}
  1. Nombra la política «AppServicePolicy» y proporciona una descripción
  2. Haz clic en «Crear política»

3 Crear un rol para la aplicación

  1. Ve a «Roles» y haz clic en «Crear rol»
  2. Selecciona el tipo de entidad de confianza (por ejemplo, EC2 si la aplicación se ejecuta en EC2)
  3. Adjunta la política «AppServicePolicy» que creaste
  4. Nombra el rol «AppServiceRole»
  5. Haz clic en «Crear rol»

4 Configurar grupos para el personal

  1. Crea un grupo «AppDevelopers»:
    • Adjunta una política que permita acciones de lectura en S3 y DynamoDB
    • Adjunta permisos para ver logs en CloudWatch
  2. Crea un grupo «AppOperators»:
    • Adjunta permisos para ver métricas y logs en CloudWatch
    • Adjunta permisos para describir instancias EC2 relacionadas

5 Crear usuarios y asignarlos a grupos

  1. Crea usuarios para cada desarrollador y operador
  2. Asigna cada usuario al grupo correspondiente
  3. Configura MFA para cada usuario
  4. Establece una política de contraseñas fuerte

6 Implementar el rol en la aplicación

  1. Si usas EC2, asocia el rol «AppServiceRole» a la instancia
  2. Si usas ECS o EKS, configura el rol en la definición de tarea o en el pod
  3. Si usas Lambda, asigna el rol a la función
Nota importante: Sigue siempre el principio de privilegio mínimo: otorga solo los permisos necesarios para que los usuarios y aplicaciones realicen sus tareas, nada más.

Preguntas frecuentes para la certificación

Conceptos fundamentales de IAM

  1. ¿Qué es AWS IAM?

    Es un servicio web que ayuda a controlar de manera segura el acceso a los recursos de AWS mediante la creación y gestión de usuarios, grupos, roles y políticas.

  2. ¿Cuáles son los componentes principales de IAM?
    • Usuarios: Identidades que representan a personas o servicios
    • Grupos: Colección de usuarios con permisos compartidos
    • Roles: Conjunto de permisos que se pueden asumir temporalmente
    • Políticas: Documentos que definen permisos
    • Proveedores de identidad: Servicios externos de autenticación
  3. ¿Qué es una política de IAM?

    Es un documento JSON que define permisos para acceder a recursos de AWS, especificando qué acciones están permitidas o denegadas.

  4. ¿Cuál es la diferencia entre un usuario y un rol de IAM?

    Un usuario representa una persona o servicio con credenciales permanentes, mientras que un rol es un conjunto de permisos temporales que pueden ser asumidos por usuarios, aplicaciones o servicios.

Políticas y permisos

  1. ¿Cuáles son los tipos de políticas en IAM?
    • Políticas administradas por AWS: Predefinidas y mantenidas por AWS
    • Políticas administradas por el cliente: Creadas y mantenidas por ti
    • Políticas en línea: Embebidas directamente en un usuario, grupo o rol
    • Políticas basadas en recursos: Adjuntas a recursos como buckets S3
    • Políticas de control de servicios (SCP): Limitan permisos en AWS Organizations
  2. ¿Qué es el efecto predeterminado para los permisos en IAM?

    El efecto predeterminado es «denegar». Todo acceso está denegado a menos que se conceda explícitamente («Allow»).

  3. ¿Cómo funciona la evaluación de políticas en IAM?
    • Por defecto, todas las solicitudes se deniegan
    • Un permiso explícito de «Allow» anula el valor predeterminado
    • Una denegación explícita («Deny») anula cualquier permiso «Allow»
    • Se evalúan todas las políticas aplicables (usuario, grupo, rol y recurso)
  4. ¿Qué es una condición en una política de IAM?

    Es un elemento opcional que permite especificar cuándo una política está en efecto, basándose en aspectos como la dirección IP, la hora del día, el uso de MFA, etcétera.

Seguridad y mejores prácticas

  1. ¿Cuáles son las mejores prácticas de seguridad para IAM?
    • Proteger las credenciales del usuario root
    • Implementar MFA para usuarios privilegiados
    • Usar roles para delegar permisos
    • Aplicar el principio de privilegio mínimo
    • Rotar credenciales regularmente
    • Usar políticas de contraseñas fuertes
    • Eliminar credenciales no utilizadas
  2. ¿Qué es la autenticación multifactor (MFA) en IAM?

    Es una capa adicional de seguridad que requiere que los usuarios proporcionen un código temporal de un dispositivo MFA además de sus credenciales habituales.

  3. ¿Qué es AWS STS y cómo se relaciona con IAM?

    AWS Security Token Service (STS) es un servicio que proporciona credenciales temporales para usuarios federados o roles. Permite la implementación de acceso temporal y asunción de roles.

Federación e integración

  1. ¿Qué es la federación de identidades en IAM?

    Es un mecanismo que permite a los usuarios externos acceder a recursos de AWS utilizando sus credenciales existentes de un proveedor de identidad externo (como Active Directory, Google, Facebook).

  2. ¿Cómo se implementa la federación con proveedores SAML?

    Se configura un proveedor de identidad SAML en IAM, se crea un rol para acceso federado, y se establece una relación de confianza entre AWS y el proveedor mediante metadatos SAML.

  3. ¿Qué es AWS SSO y cómo se relaciona con IAM?

    AWS Single Sign-On es un servicio que simplifica la gestión del acceso centralizado a múltiples cuentas y aplicaciones. Trabaja junto con IAM para proporcionar acceso federado.

Consejos para el examen

  1. Comprende profundamente el proceso de evaluación de políticas y cómo se resuelven los conflictos.
  2. Memoriza los límites principales de IAM (por ejemplo, número máximo de roles, políticas, longitud de las políticas).
  3. Familiarízate con el formato JSON de las políticas y sus elementos.
  4. Entiende la diferencia entre políticas basadas en identidad y políticas basadas en recursos.
  5. Aprende los servicios que admiten políticas basadas en recursos (S3, SNS, SQS, KMS).
  6. Conoce las mejores prácticas de seguridad, especialmente aquellas relacionadas con el usuario root.
  7. Practica la creación de políticas para escenarios complejos que involucren múltiples servicios.
  8. Comprende cómo funcionan los diferentes tipos de credenciales (contraseñas, claves de acceso, certificados).
  9. Estudia los diferentes métodos de federación de identidades y sus casos de uso.
  10. Revisa las herramientas de IAM para análisis de acceso y generación de políticas.

CloudDeployer – Tu experto en implementación en la nube

¿Necesitas ayuda con tu migración a la nube o con la implementación de arquitecturas seguras? CloudDeployer ofrece servicios de consultoría y soluciones en AWS, Azure y Google Cloud.

Contáctanos

© 2025 CloudDeployer – Todos los derechos reservados

CloudDeployer no está afiliado con Amazon Web Services.

Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Comentario

Carrito de Compras

Carrito esta vacío

Puedes revisar todos los productos disponibles y comprar algunos en la tienda.

Volver a la tienda