セキュリティ

AWS IAM

Servicio de autenticación y autorización para controlar de forma segura el acceso a recursos AWS, proporcionando gestión de acceso granular mediante usuarios, grupos, roles y políticas

Unos 3 min de lectura

Descripción general

AWS IAM (Identity and Access Management) es el servicio fundamental de seguridad que controla quién puede acceder a qué recursos AWS y bajo qué condiciones. Permite crear y gestionar usuarios, grupos y roles con políticas de permisos detalladas que definen exactamente qué acciones están permitidas o denegadas sobre qué recursos.

Lógica de evaluación de políticas y práctica del mínimo privilegio

IAM evalúa las políticas siguiendo un orden específico: primero verifica denegaciones explícitas (siempre ganan), luego busca permisos explícitos, y si no encuentra ninguno aplica la denegación implícita por defecto. Las políticas se expresan en JSON con elementos Effect (Allow/Deny), Action (operaciones API), Resource (ARNs) y opcionalmente Condition (restricciones contextuales). El principio de mínimo privilegio requiere otorgar solo los permisos estrictamente necesarios. IAM Access Analyzer ayuda a identificar recursos compartidos externamente y permisos no utilizados. Las políticas de límite de permisos (Permissions Boundary) establecen el máximo de permisos que un rol puede tener, útil para delegar la creación de roles sin riesgo de escalación de privilegios.

Roles IAM y credenciales temporales

Los roles IAM proporcionan credenciales temporales en lugar de credenciales permanentes (access keys), siendo la práctica recomendada para casi todos los casos de uso. Los servicios AWS asumen roles (ej: Lambda execution role, EC2 instance profile) para obtener permisos sin almacenar credenciales. La federación permite que usuarios externos (SAML, OIDC) asuman roles sin crear usuarios IAM. STS (Security Token Service) emite credenciales temporales con duración configurable. El encadenamiento de roles permite que un rol asuma otro rol, útil para acceso cross-account. Las session policies permiten restringir aún más los permisos de una sesión específica sin modificar la política del rol.

Gestión a gran escala con Organizations e IAM Identity Center

En entornos multi-cuenta, Organizations proporciona Service Control Policies (SCPs) que establecen guardrails a nivel organizacional, limitando los permisos máximos disponibles en cada cuenta independientemente de las políticas IAM locales. IAM Identity Center (anteriormente AWS SSO) centraliza la autenticación para múltiples cuentas, eliminando la necesidad de crear usuarios IAM en cada cuenta. Los Permission Sets definen conjuntos de permisos reutilizables que se asignan a usuarios/grupos para cuentas específicas. Esta combinación permite gestionar el acceso de cientos de desarrolladores a decenas de cuentas de forma escalable y auditable.

共有するXB!

Términos relacionados

AWS KMSAmazon CognitoAmazon GuardDutyAWS WAF

Servicios relacionados

Amazon CognitoAWS KMS

Artículos relacionados

Desarrollo de aplicaciones web full-stack con AWS Amplify - Despliegue con integración Git y construcción de backendConstruya entornos de despliegue automático por rama con integración GitHub, y defina autenticación, API y almacenamiento en TypeScript con Backend Gen 2. También compatible con SSR de Next.js.Patrones de diseño de Amazon API Gateway - Criterios de selección entre REST API y HTTP APIClarificamos los criterios de selección entre HTTP API y REST API, y presentamos patrones de autenticación con Cognito y Lambda Authorizer, así como métodos prácticos de diseño de throttling.Construcción de API GraphQL en tiempo real con AWS AppSync - Diseño de suscripciones y resolversPresenta patrones de diseño para lograr notificaciones en tiempo real con suscripciones basadas en WebSocket e integrar múltiples fuentes de datos con pipeline resolvers de DynamoDB y Lambda.Integración de GraphQL de microservicios con AWS AppSync Merged API - Práctica de desarrollo distribuido por equiposIntegra APIs GraphQL desarrolladas y desplegadas independientemente por múltiples equipos en un único endpoint. Presenta estrategias para evitar conflictos de esquema y diseño de autenticación.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Términos y artículos similares

Diseño de gestión de identidad y acceso - Lograr seguridad Zero Trust con IAMAprende técnicas de diseño de gestión de acceso con AWS IAM, incluyendo el principio de mínimo privilegio, diseño de políticas y lograr seguridad Zero Trust mediante integración con Cognito.AWS IAMServicio de autenticación y autorización para gestionar de forma segura el acceso a los recursos de AWSAWS IAM Identity CenterServicio de inicio de sesión único (SSO) integrado con AWS Organizations que gestiona de forma centralizada el acceso a múltiples cuentas AWS y aplicaciones empresarialesControl de acceso granular de AWS IAM - El principio de mínimo privilegio logrado por el diseño basado en políticasExplicamos la filosofía de diseño del control de acceso basado en políticas de AWS IAM y comparamos concretamente las diferencias de granularidad con Azure RBAC y GCP IAM.Lógica de evaluación de políticas IAM explicada - Cómo la denegación implícita pierde ante la autorización explícitaUna explicación paso a paso de cómo IAM evalúa las solicitudes para permitirlas o denegarlas, cubriendo la prioridad de denegación implícita, autorización explícita y denegación explícita, así como la lógica de intersección para SCPs, límites de permisos y políticas de sesión.