Introducción

La seguridad en la nube es una responsabilidad compartida entre AWS y el cliente. Dentro de este modelo, Identity and Access Management (IAM) juega un rol fundamental para controlar el acceso a recursos AWS. En este artículo describiremos de forma detallada y seria las mejores prácticas y consejos para diseñar, implementar y mantener políticas de IAM seguras y eficientes.

1. Principios clave de Seguridad

• Menor privilegio: Concede solo los permisos necesarios.
• Separación de funciones: Divide tareas críticas en roles distintos.
• Autenticación multifactor (MFA): Obliga a los usuarios críticos a validarse con un segundo factor.
• Rotación de credenciales: Implementa una política de caducidad y renovación de contraseñas y claves de acceso.
• Auditoría y registro: Monitoriza la actividad de IAM y revisa registros periódicamente.

2. Estructura de usuarios, grupos y roles

Para un entorno bien organizado:

1. Usuarios: Identidades permanentes con credenciales de acceso (contraseña y/o claves).
2. Grupos: Colecciones de usuarios a los que se asignan permisos comunes.
3. Roles: Conjunto de permisos que asumen servicios o identidades externas (p.ej., instancias EC2, usuarios SSO).

Evita asignar permisos directamente a los usuarios: usa grupos y roles para simplificar la gestión y garantizar consistencia.

3. Diseño de políticas IAM

Las políticas IAM definen permisos en JSON. Algunas recomendaciones:

• Escribe políticas pequeñas y específicas.
• Usa Action concretas en lugar de .
• Usa Resource limitados (ARNs específicos).
• Aplica Condition cuando sea posible (orígenes de IP, MFA obligatorio, etiquetas).

{
  Version:2012-10-17,
  Statement:[{
    Effect:Allow,
    Action:[s3:GetObject],
    Resource:[arn:aws:s3:::mi-bucket/],
    Condition:{IpAddress:{aws:SourceIp:203.0.113.0/24}}
  }]
}

4. Políticas Administradas vs Políticas en línea

5. Políticas de contraseña y MFA

• Longitud mínima: 14 caracteres.
• Complejidad: Mayúsculas, minúsculas, números y símbolos.
• Expiración: Cada 90 días (ajustable según regulaciones).
• Historial: Al menos las últimas 5 contraseñas no reutilizables.
• MFA obligatorio: Para usuarios con permisos elevados.

6. Gestión de credenciales y claves de acceso

• Evita usar claves root: Desactívalas y guárdalas en un lugar seguro.
• Acceso programático: Utiliza roles asociados a instancias EC2 o AWS Lambda en lugar de incrustar claves.
• Rotación automática: Integración con AWS Secrets Manager para claves rotadas periódicamente.

7. Auditoría y monitorización

• AWS CloudTrail: Activa en todas las regiones y envía logs a S3 con cifrado y control de acceso.
• AWS Config: Monitorea configuraciones de IAM y detecta desviaciones de políticas deseadas.
• AWS IAM Access Analyzer: Detecta políticas demasiado permisivas que exponen recursos externamente.
• AWS GuardDuty: Detecta comportamiento anómalo en tu cuenta.

8. Seguridad a nivel Organizacional

Si gestionas múltiples cuentas:

• Usa AWS Organizations para políticas de servicio (SCPs) y límites centralizados.
• Define Unidades Organizativas (OUs) para agrupar cuentas por entorno (producción, desarrollo, test).
• Aplica SCPs restrictivas para negar acciones que nunca deberían realizarse en ciertas OUs.

Más información en AWS Organizations User Guide.

9. Herramientas y procesos de soporte

• AWS CloudFormation: Define infraestructuras y políticas como código.
• Terraform: Otra opción IaC para gestionar recursos IAM.
• Automatización CI/CD: Integración de validaciones de políticas con linters (p.ej., cfn-lint, terraform validate).
• Revisiones periódicas: Audita roles y políticas cada 3-6 meses para detectar permisos sobrantes.

Conclusión

Configurar políticas de IAM y la seguridad en AWS de manera adecuada es esencial para proteger tus cargas de trabajo y datos. Siguiendo los principios de menor privilegio, separación de funciones y auditorías continuas, podrás minimizar riesgos y mantener un entorno eficiente. Implementa las recomendaciones expuestas y aprovecha las herramientas nativas de AWS para una gestión automatizada y consistente.