Cómo crear roles IAM en AWS

Cómo crear roles IAM en AWS
En la arquitectura de AWS, a menudo requerimos un servicio de AWS para administrar o acceder a otros servicios de AWS (por ejemplo, desea que su instancia de EC2 lea datos de S3 Bucket) en su nombre. Para hacerlo, tenemos que dar permiso a ese servicio al igual que damos permisos a los usuarios de IAM en nuestra cuenta. Estos permisos se otorgan al adjuntar políticas de IAM a los roles IAM. Entonces este papel de IAM se asigna al servicio AWS. Este blog describe cómo podemos crear roles IAM en AWS utilizando la consola de administración de AWS y la interfaz de línea de comandos de AWS.

Tipos de roles de AWS

Hay cuatro tipos de roles que podemos crear en AWS que son los siguientes:

Rol de servicio de AWS

Los roles de servicio de AWS son los roles más utilizados cuando desea que un servicio de AWS tenga permisos para acceder a otro servicio de AWS en su nombre. El rol de servicio de AWS se puede adjuntar a una instancia de EC2, funciones Lambda o cualquier otro servicio de AWS.

Otro rol de cuenta de AWS

Esto simplemente se usa para permitir el acceso desde una cuenta de AWS a otra cuenta de AWS.

Rol de identidad web

Esta es una forma de permitir que los usuarios que no están en su cuenta de AWS (no usuarios de IAM) accedan a los servicios de AWS en su cuenta de AWS. Por lo tanto, utilizando roles de identidad web, se puede permitir que estos usuarios utilicen los servicios de AWS desde su cuenta.

Saml 2.0 papel de la federación

Este rol se utiliza para proporcionar acceso a usuarios específicos para administrar y acceder a su cuenta AWS si están federadas con SAML 2.0. Saml 2.0 es un protocolo que puede proporcionar autenticación y autorización entre los dominios de seguridad.

Creando roles IAM

En esta sección vamos a ver cómo puede crear roles IAM utilizando los siguientes métodos.

  • Uso de la consola de gestión de AWS
  • Uso de la interfaz de línea de comando AWS (CLI)

Creación de rol de IAM utilizando la consola de gestión

Inicie sesión en su cuenta de AWS y en la barra de búsqueda superior, escriba IAM.

Seleccione la opción IAM en el menú de búsqueda. Esto te llevará a tu tablero IAM. Haga clic en los roles en el panel del lado izquierdo para administrar IAM Roles en tu cuenta.

Haga clic en Crear rol botón para crear un nuevo papel en su cuenta.

En la sección Crear rol, primero debe seleccionar el tipo de rol que desea crear. En este artículo, solo vamos a discutir Servicio AWS roles ya que son el tipo de rol más común y frecuente.

Ahora, debe seleccionar el servicio AWS para el que desea crear el rol. Hay una larga lista de servicios disponibles aquí y vamos a seguir con EC2.

Para dar a un papel el permiso deseado que desea, debe adjuntar una política de IAM al papel al igual que una política de IAM se adjunta a los usuarios de IAM para otorgarles permisos. Estas políticas son documentos JSON con declaraciones únicas o múltiples. Puede usar políticas administradas de AWS o crear sus propias políticas personalizadas. Para esta demostración, adjuntaremos una política administrada de AWS que le da solo permiso a S3.

A continuación, debe agregar etiquetas si lo desea y este es un paso totalmente opcional.

Por último, revise los detalles sobre el papel que está creando y agregue el nombre para su rol. Luego haga clic en el botón Crear rol en la esquina inferior derecha de la consola.

Por lo tanto, ha creado con éxito un papel en AWS y este papel se puede encontrar en la sección Roles de la consola IAM.

Adjunte el papel al servicio

Hasta ahora, hemos creado un papel de IAM, ahora veremos cómo podemos adjuntar este papel a un servicio de AWS para otorgar permisos. Como hemos creado un rol de EC2, solo se puede adjuntar a una instancia de EC2.

Para adjuntar un rol de IAM a una instancia de EC2, primero cree una instancia de EC2 en su cuenta de AWS. Después de crear una instancia de EC2, vaya a la consola EC2.

Clickea en el comportamiento pestaña, elija Seguridad de la lista y haga clic en el rol de IAM modificar.

En la sección Modificar IAM de rol, seleccione el papel de la lista que desea asignar y simplemente haga clic en el botón Guardar.

Después de esto, si desea verificar que el rol realmente se adjunte a su instancia, puede buscarlo en la sección Resumen.

Creación de rol de IAM utilizando la interfaz de línea de comandos

Los roles IAM se pueden crear utilizando la interfaz de línea de comandos, y este es el método más común desde el punto de vista de los desarrolladores que prefieren usar CLI Over Management Console. Para AWS, puede configurar CLI en Windows, Mac, Linux o simplemente puede usar AWS CloudShell. Primero, inicie sesión en la cuenta de usuario de AWS utilizando sus credenciales y para crear un nuevo rol, simplemente siga el siguiente procedimiento.

Cree un archivo de política de relación de prueba o de confianza utilizando el siguiente comando en el terminal.

$ vim demo_policy.json

En el editor, pegue la política de IAM que desea adjuntar al rol de IAM.

[
"Versión": "2012-10-17",
"Declaración": [

"Efecto": "Permitir",
"Principal":
"Servicio": "EC2.amazonaws.com "
,
"Acción": "STS: Asumerole"

]
]

Después de copiar la política de IAM, guarde y salga del editor. Para leer la política del archivo, use el gato dominio.

$ gato

Ahora, finalmente puede crear su rol de IAM usando el siguiente comando.

$ AWS IAM CREATE-ROLE-Role-Name --Ssume-Role-Policy-Document File: //

Este comando creará el rol de IAM y adjuntará la política IAM definida en el documento JSON al rol.

La política IAM adjunta al papel IAM se puede cambiar utilizando el siguiente comando en el terminal.

$ AWS IAM POLY-ROLE-POLICY-Role-Name --póliza

Para enumerar la política adjunta al rol de IAM, use el siguiente comando en el terminal.

$ AWS IAM LIST-ANTACHACHE-ROLE-ROLE-POLYS-Role-Name

Adjunte el papel al servicio

Después de crear el rol de IAM, adjunte el rol de IAM recién creado al servicio AWS. Aquí, vamos a adjuntar el papel a una instancia de EC2.

Para adjuntar un rol a una instancia de EC2, primero debemos crear un perfil de instancia utilizando el siguiente comando CLI.

Perfil de creación de creación de $ AWS IAM--Instance-Profile-Name

Ahora, adjunte el rol al perfil de instancia

$ AWS IAM ADD-ROLE-A-INSTANCIA-Profile--Instance-Profile-Name> Nombre<--role-name>nombre<

Finalmente, ahora vamos a adjuntar este perfil de instancia a nuestra instancia de EC2. Para esto necesitamos el siguiente comando:

$ AWS EC2 Associate-IAM-instance-Profile-Instance-ID --iam-instance-perfile name =

Para enumerar las asociaciones de perfil de instancia de IAM, use el siguiente comando en el terminal.

$ AWS EC2 Describa las asociaciones de perfil de IAM-instancia

Conclusión

Gestionar los roles IAM es uno de los conceptos básicos en AWS Cloud. Los roles IAM se pueden utilizar para autorizar el servicio AWS para acceder a otro servicio de AWS en su nombre. También son importantes para mantener sus recursos de AWS seguros mediante la asignación de permisos específicos a los servicios de AWS que necesitan. Estos roles también se pueden usar para permitir a los usuarios de IAM de otras cuentas de AWS utilizar recursos de AWS en su cuenta de AWS. Los roles IAM usan las políticas de IAM para asignar permisos a los servicios de AWS que están adjuntos. Este blog describe el procedimiento paso a paso para crear roles IAM utilizando la consola de administración de AWS y la interfaz de línea de comandos de AWS.