A cada usuario se les debe asignar permisos para acceder a los recursos requeridos de acuerdo con sus roles y requisitos. Estos permisos se pueden permitir adjuntando directamente una política de permiso con un usuario de IAM, pero este no es un buen enfoque desde un punto de vista de gestión. Por lo tanto, un mejor enfoque es crear un grupo de usuarios y asignar permisos a ese grupo y todos los usuarios de IAM dentro del grupo de usuarios heredarán los permisos asignados al grupo de usuarios y no necesitará administrar los permisos individualmente para cada usuario de IAM.
En este blog, vamos a ver cómo podemos crear un usuario de usuario y un grupo de usuarios de IAM en AWS utilizando la consola de administración de AWS y la interfaz de línea de comandos de AWS.
Creando un usuario de IAM
Para crear un usuario de IAM en AWS, puede usar la cuenta raíz o cualquier cuenta de usuario de IAM que tenga permiso y acceso para administrar los usuarios de IAM. Existen los siguientes métodos para crear un usuario de IAM en AWS.
Creación de usuarios de IAM desde la consola de administración de AWS
Inicie sesión en su cuenta de AWS y en la barra de búsqueda superior, escriba IAM.
Seleccione la opción IAM en el menú de búsqueda. Esto te llevará a tu tablero IAM.
Desde el panel lateral izquierdo, haga clic en Usuarios pestaña donde encontrará el Agregar usuarios opción.
Para crear un nuevo usuario, debe configurar múltiples configuraciones. Primero, debe dar un nombre de usuario para un usuario de IAM y elegir su tipo de credenciales de inicio de sesión. Para iniciar sesión en su cuenta de usuario utilizando la consola de administración de AWS, deberá crear una contraseña (puede generar automáticamente una contraseña o usar una personalizada) o si desea acceder a su cuenta de usuario desde CLI o SDK, lo hará. Necesita configurar una clave de acceso que le proporcionará la ID de clave de acceso y una tecla de acceso secreta.
En la siguiente sección, deberá administrar los permisos asignados a cada usuario de IAM en una cuenta de AWS. El mejor enfoque para dar permisos es crear un grupo de usuarios que veremos en la siguiente sección, pero si lo desea, puede adjuntar una política de permiso directamente a un usuario de IAM.
El último paso que encontrará es agregar etiquetas que son palabras clave simples con una descripción para rastrear todos los recursos en su cuenta relacionados con esa palabra clave. Las etiquetas son opcionales y puede omitirlas en su elección.
Finalmente, solo revise los detalles que acaba de dar sobre ese usuario y es bueno ir para crear un usuario de IAM.
Cuando haga clic en Crear usuario, aparecerá una nueva pantalla donde podrá descargar sus credenciales de usuario en caso de que haya habilitado la tecla de acceso. Esto es necesario para descargar este archivo, ya que esta es la única vez que puede obtenerlos, de lo contrario tendrá que crear nuevas credenciales.
Para iniciar sesión en su cuenta de usuario de IAM utilizando la consola de administración, solo necesita ingresar la ID de su cuenta, el nombre de usuario y la contraseña.
Creación del usuario de IAM usando CLI (interfaz de línea de comandos)
Los usuarios de IAM se pueden crear utilizando la interfaz de línea de comandos, y este es el método más común desde el punto de vista de los desarrolladores que prefieren usar CLI Over Management Console. Para AWS puede configurar CLI en Windows, Mac, Linux o simplemente puede usar AWS CloudShell. Primero, inicie sesión en la cuenta de usuario de AWS usando sus credenciales y para crear un nuevo usuario ingrese el siguiente comando.
$ aws iam create-user-user-name
Se crea el usuario de IAM. Ahora, debe administrar las credenciales de seguridad para su cuenta. Para simplemente configurar una contraseña de usuario, ejecute el comando:
$ AWS IAM CREATE-LOGIN-Profile-User-Name-Password
Finalmente, debe administrar los permisos para su usuario de IAM recién creado. Puede agregar al usuario en un grupo y se le otorgará al usuario todos los permisos de ese grupo. Para esto, necesitas el siguiente comando. No habrá salida para obtener.
$ AWS IAM ADD-USER-TO GROUP-NAME GROUP--nombre de usuario
Si desea otorgar permisos directamente a su usuario de IAM, puede adjuntar una póliza con el usuario, esto se denomina política en línea. Justo en lugar del nombre del grupo, debe proporcionar a ARN la política que desea adjuntar.
$ AWS IAM Attack-User-Policy-user-nombre>-Policy-Arn
Entonces, esta es la guía completa para crear un usuario de IAM en su cuenta de AWS. Se puede notar que en ningún momento hemos administrado la Región de AWS o la zona de disponibilidad, esto se debe a que IAM User es un servicio global independientemente de las regiones.
Creación de grupos de usuarios
Los grupos de usuarios ayudan cuando desea más de un usuario con permisos similares, como si tiene cuatro desarrolladores en su equipo y desea que todos tengan igual acceso. También proporciona un fácil mantenimiento de su cuenta, ya que no tiene que mirar individualmente los permisos de cada usuario y puede ver su grupo de usuarios. Además, en AWS, un usuario puede pertenecer a múltiples grupos de usuarios o incluso ningún grupo de usuarios.
Aquí, veremos crear un grupo de usuarios con dos métodos.
Creación de grupos de usuarios de la consola de administración de AWS
Para crear un grupo de usuarios, simplemente inicie sesión en su cuenta de AWS y en el tipo de barra de búsqueda superior IAM.
Seleccione la opción IAM en el menú de búsqueda, esto lo llevará a su tablero IAM.
En el panel lateral izquierdo, seleccione el Grupos de Usuarios pestaña. Esto lo llevará a la ventana de administración de su grupo de usuarios. Haga clic en Crea un grupo y los siguientes son los pasos para crear un grupo de usuarios.
Escriba el nombre del grupo de usuarios.
De la lista a continuación, puede seleccionar los usuarios existentes que desea agregar a este grupo. Este paso no es obligatorio, ya que también puede agregar usuarios en el grupo más adelante.
El último y más importante paso para crear un grupo de usuarios es adjuntar políticas que otorguen permisos a ese grupo. En la lista de políticas, seleccione aquellos que desea adjuntar al grupo y finalmente simplemente haga clic en Crear grupo en la esquina inferior derecha.
Creación de grupos de usuarios utilizando CLI (interfaz de línea de comandos)
Inicie sesión en su interfaz de línea de comando AWS usando Windows, Mac, Linux o CloudShell. Aquí, debe ejecutar el siguiente comando para crear un nuevo grupo de usuarios
$ aws iam create-group --group-name
Para agregar usuarios a su grupo, simplemente ejecute el siguiente comando en la terminal.
$ AWS IAM ADD-USER-TO GROUP-NAME GROUP <--nombre de usuario
Ahora, finalmente solo necesitamos adjuntar una política a nuestro grupo de usuarios. Para esto ejecute el siguiente comando:
$ AWS IAM ACTING-GROUP-POLICY-Nombre del grupo--póliza
Entonces, finalmente, ha creado un nuevo grupo de usuarios, le ha adjunto una política de permiso adjunto y ha agregado un usuario en él. En AWS, los grupos de usuarios son globales, por lo que no necesita administrar ninguna región para esto.
Conclusión
Los usuarios y los grupos de usuarios son una parte importante de la infraestructura de AWS. La creación de múltiples usuarios permite a las organizaciones utilizar una infraestructura en la nube única entre muchos departamentos y miembros. Por otro lado, los grupos de usuarios nos ayudan a administrar a nuestros usuarios de manera eficiente en nuestra cuenta AWS al proporcionar a cada usuario los permisos que desea realizar sus tareas.