Open in app

Sign in

Write

Sign in

Sugerencias al abrir una Cuenta en AWS — Política de Contraseñas & Grupo de Administradores

Explica: William Guzmán, Expert Solution Architect de Zenta

Zenta Group
5 min readSep 22, 2022

Al iniciar el aprendizaje de la nube AWS, es importante reforzar el acceso a la cuenta que vayamos a utilizar para nuestras pruebas o ‘laboratorios’; además de restringir las acciones que se puedan realizar en esta cuenta.

A continuación explicaré cómo crear una política de contraseñas para AWS; y cómo crear un grupo de usuarios que tengan nivel Administrador (pero no acceso de usuario ‘raíz’), siguiendo el principio en seguridad que consiste en otorgar el menor privilegio a los usuarios.

1. Política de Contraseñas

Es importante que de aquí en adelante las tareas realizadas en la cuenta de AWS no se ejecuten habiendo accedido como usuario root. Las únicas tareas que requieren este nivel de acceso son, entre otras: cambiar la configuración de la cuenta (nombre de la cuenta, la dirección de correo electrónico, la contraseña del usuario raíz y las claves de acceso del usuario raíz); restaurar permisos de usuario de IAM (en caso de que sólo exista un usuario administrador y se presenten problemas con su acceso); activar el acceso de IAM al “Panel de facturación”; cerrar la cuenta de AWS; y cambiar o cancelar el plan de soporte de AWS; como se detalla en la documentación oficial:

Por eso vamos a crear: una política de contraseñas; un grupo de usuarios con nivel de Administrador; y un usuario e incluirlo en el grupo del paso anterior. Para esto vamos al servicio IAM y en el menú de la izquierda seleccionamos “Configuración de cuenta”:

Luego hacemos clic en el botón “Cambiar la política de contraseñas”:

y seleccionamos las opciones que consideremos convenientes. Idealmente las habilitamos todas, en cuyo caso vamos a necesitar especificar en cuántos días caduca la contraseña.

2. Grupo de Administradores

Una vez actualizada la política de contraseñas, del menú de la izquierda elegimos “Grupos de usuarios”:

y luego hacemos clic en el botón “Crear un grupo”. En la siguiente ventana tendremos que especificar el nombre del nuevo grupo (para este ejemplo, “Administradores”) y las políticas de permiso:

Luego buscamos la política “AdministratorAccess” (administrada por AWS):

y finalmente hacemos clic en “Crear un grupo” (inicialmente este grupo no tendrá ningún usuario IAM). A continuación vamos a crear un usuario e incluirlo en el grupo recién creado. Para eso hacemos clic en el menú del lado izquierdo en la opción “Usuarios”:

Clic en el botón “Agregar usuarios” y debemos especificar:

  1. Nombre de usuario
  2. Si el usuario necesita o no acceso programático
  3. Si el usuario va a acceder a la consola (para este ejemplo, si)
  4. Si tenemos una contraseña ya asignada para el usuario, o si se va a generar automáticamente
  5. Si vamos a exigir al usuario cambiar su contraseña al ingresar por primera vez

Por último hacemos clic en el botón “Siguiente: Permisos”, en donde lo incluiremos en el grupo de usuarios creado anteriormente:

Al hacer clic en el botón “Siguiente: Etiquetas” podremos asignarle etiquetas al usuario, siguiendo las Prácticas recomendadas por AWS para etiquetas:

Hacemos clic en el botón “Revisar” para obtener un resumen del usuario que estamos a punto de crear. Al hacer clic en el botón “Crear un usuario” obtendremos la siguiente pantalla en donde podremos:

  1. Descargar el archivo de credenciales del nuevo usuario
  2. Obtener el ID de clave de acceso y la clave de acceso secreta
  3. Mostrar la contraseña generada automáticamente, y
  4. Enviar instrucciones de inicio de sesión por correo electrónico

2.1. Alias de Cuenta

Antes de probar el acceso del usuario creado, podemos personalizar el alias de la cuenta lo cual también cambiaría la dirección en la que los usuarios de la cuenta van a iniciar sesión. Para esto vamos al panel del servicio IAM y en la sección de la derecha encontraremos “Alias de cuenta” junto con el link “Crear”:

Al hacer clic en este link podremos obtener una vista previa de cómo quedará el link para iniciar sesión en esta cuenta:

Al cambiarlo deberemos obtener una confirmación de esta actualización. Ahora para probar el acceso del usuario creado anteriormente, simplemente copiamos el link con el nuevo alias, abrimos una ventana oculta del navegador y pegamos el link, verificando que nos complete automáticamente el alias de la cuenta, y completamos los datos de inicio del usuario creado:

Finalmente hacemos clic en “Iniciar sesión” y ya podremos ingresar a la cuenta con el usuario IAM creado anteriormente (con permisos administrativos), no con el usuario root.

Muchas veces necesitaremos de apoyo para continuar con nuestro aprendizaje. Siguiendo estas sugerencias podremos de alguna forma ‘proteger’ nuestra cuenta de acciones altamente peligrosas.

Dale “Me gusta”, comparte este artículo y envíanos tus comentarios e inquietudes sobre cómo continuar tu aprendizaje de la nube de AWS.

Aws Tutorial
AWS
Amazon Web Services
Tecnologia

--

--

Zenta Group
Zenta Group

Written by Zenta Group

75 Followers
41 Following

Aceleramos la Transformación Tecnológica de los negocios

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams