AWS es uno de los servicios de computación en la nube más utiilizados. En el post de hoy veremos cómo crear un usuario en AWS y como asignarle permisos con IAM.
Si acabas de hacerte una cuenta en AWS y no sabes muy bien por dónde empezar, la primera recomendación es crear un usuario para hacer uso de la cuenta, sin utilizar tu usuario raíz, que solo deberías reservar para ciertas tareas administrativas.
Esto tiene varias ventajas, la primera es que los datos de tu cuenta raíz estarán más protegidos, y la segunda que podrás asignar a miembros de tu equipo como colaboradores y asignarles los permisos que creas necesarios para desempeñar sus funciones.
Antes de empezar
En este caso veremos algo muy simple que es crear un usuario con permisos de administrador, para poder hacer uso de los servicios de AWS sin utilizar tu cuenta principal. Por supuesto hay varios requisitos:
- debes tener una cuenta en AWS que te habrás creado previamente
- debes tener permisos de administrador en dicha cuenta
Una vez que estemos dentro, podemos ir al panel principal y buscar el servicio IAM, que nos permitirá manejar las identidades en el sistema:
Creación de un grupo
Una vez allí, en el panel principal de IAM, debemos ir al lado izquierdo y acceder al menú para crear un grupo. Los grupos sirven para asignar los permisos necesarios a los usuarios, dependiendo del rol que vayan a tomar.
Para empezar crearemos un grupo con el nombre que más rabia nos dé, en este caso GrupoDeUsuarios:
Una vez creado, debemos asociarle una (o varias) políticas, para asignarle los permisos a los servicios que queramos (sea EC2, S3, o los que necesitemos). Podemos complicarnos mucho, pero en este caso, lo que vamos a hacer es garantizarle permisos de administrador a nuestro usuario:
Creando a nuestro usuario en IAM
El siguiente paso al dar de alta al nuevo administrador, es volver al lado izquierdo del panel de IAM y acceder al menú de usuarios. Allí debemos darle a crear un nuevo usuario.
En el siguiente paso, se nos abrirá una pantalla con detalles para configurar la cuenta que vamos a crear, debemos asignar el acceso a la consola de administración para que nuestro usuario pueda conectarse al panel de AWS. Asignamos una contraseña aleatoria, que podemos exigir cambiar al iniciar sesión, y continuamos:
Lo siguiente es añadir al usuario al grupo que hemos creado previamente, que para eso está, en nuestro caso como solo tenemos uno (de momento) será el que nos aparezca. Hacemos tic en el grupo que queramos asignar y seguimos:
En el siguiente paso podemos asignarle etiquetas, como por ejemplo el nombre del usuario, el rol que desempeña o lo que se nos ocurra que nos pueda ser de utilidad a la hora de administrarnos. En este caso solo he puesto que el rol era el de administrador.
Revisando la configuración
Lo que sigue es revisar la configuración, para comprobar que todo está en orden, el nombre, el tipo de acceso, la contraseña, los permisos y las etiquetas. SI todo está en orden podemos darle a crear usuario.
Y el último paso será la confirmación de que lo hemos creado correctamente. Junto a dicha confirmación, se nos proporcionará un enlace para poder iniciar sesión con nuestro usuario. Es importante anotarlo en nuestros marcadores o en nuestro gestor de contraseñas para poder acceder a la consola de administración de AWS.
También nos proporcionan un enlace al .csv con los datos de acceso (usuario y contraseña) que podemos descargar para conservar a buen recaudo. Y esto es todo, a partir de ahora podemos acceder a nuestra consola de administración sin utilizar los datos de nuestro usuario raíz.
Briconsejo
Como toda precaución es poca, deberíamos, entre otros, seguir las recomendaciones que AWS nos da para proteger la cuenta raíz, y activar la autenticación con doble factor para nuestras cuentas, tanto la raíz como las de usuario. Nada es 100% seguro en la red, pero al menos mitigaremos un poco los problemas que puedan surgir si alguien trata de acceder sin nuestro permiso.