Requisitos:
- Conocimientos básico de AWS.
- Usuario de tipo root.
- Usuario de tipo IAM.
Consideraciones:
- Con máximo se puede tener 2 Create access key por usuario IAM.
- Los access key no debe ser configuradas en los EC2.
- Se necesita asignar una region al AWS CLI para la ejecuión.
- Se necesita asignar un formato de salida para el AWS CLI (json, text, table)
¿Qué es un Access Key en AWS?
Basicamente son las claves de acceso de los usuarios del servicio de cloud computing de AWS, es decir, se trata de credenciales a largo plazo para un usuario de tipo IAM o para la raíz de la cuenta de AWS (usuario root o raíz), que nos permitiría acceder a todos los recursos de manera ilimitada. Estas claves de acceso o credenciales permiten acceder a los paneles de control de lo que se haya contratado con AWS. y constan de dos partes:
- ID de acceso. Se trata del identificador del usuario que se haya definido
- Clave secreta. Un password secreto para poder acceder a los servicios de AWS.
Pasos para crear access key desde la consola de AWS:
1. Ingresar a la consola de AWS con el usuario de tipo IAM.
Buscamos al servicio de IAM
2. Seleccionar la opción Users (Persona).
3. Seleccionamos al usuario IAM (admin, en este caso).
3.1. Ingresamos al tag de credencial de seguridad (Security credentials).
3.2. Clic en el botón Crear llave de acceso (Create access key).
4. Seleccionamos la opción el caso de uso (Use case), Command Line Interface (CLI).
4.1. Confirmamos la recomendación (activar el check).
4.2. Clic en siguiente.
Como una mejor alternativa se recomienda usar AWS CloudShell
5. Asignamos un determinado nombre (admin-access-key) y clic en Create access key
El access key aparecera por unica vez, se sugiere descargar el archivo csv(csv file).
6. Descargar el AWS CLI e iniciar la instalación.
La descarga dependerá de Sistema Operativo (Windows, MacOS, Linux, Amazon Linux).
7. Validar la instalación desde PowerShell (terminal según el sistema operativo).
* Comando: aws --version
Se debe asignar los permisos de administrador de accesos (administrater access).
Pasos para configurar el AWS CLI (línea de comando en PowerShell):
1. Configurar el el AWS CLI.
* Comando: aws --configure
* Ingresar el Access Key ID: xyz
* Ingresar el Secret Access Key: 999
* Asignar una región por defecto: us-east-1
* Asignar un formato de salida por defecto: json.
2. Listar los access key desde AWS CLI.
* Comando: aws iam list-users
El comando listará los Access Key creadas según el usuario.
3. Desde la consola de AWS, servicio IAM, opcion administración de accesos/persona (Access management/Users), agregar politica insertada.
3.1. Selecionar el usuario IAM (admin, este ejemplo).
3.2. Clic en agregar permisos (Add permissions).
3.3. Seleccionar crear politica insertada (create inline policy).
Recordemos que existen 2 tipos de permisos, los permisos de tipo administrado por el clientes (Customer maneged) y administrado por aws (AWS managed).
4. Especificar los permisos desde la opción visual.
4.1. Seleccionamos el Servicio IAM
4.2. Seleccionamos la Accion denegar (Deny), clic en Deny.
4.3. En el nivel de acceso seleccionamos la opción ListUsers,clic en siguiente.
Con esto se crea una politica de denegar (deny) o registrir el acceso a seleccionar (acción) las lista de usuarios (ListUsers).
5. Asigamar un nombre (deny-aws-list-users) a la politica y clic en crear politica (Create policy).
6. Finalmente validamos desde el AWS CLI (PowerShell - terminal según el sistema operativo).
* Comando: aws iam list-users
Mostrará un error de tipo acceso denegado (Access Denied), esto se debe a la Accion denegar (Deny) seleccionada en el punto 4.2.
Es importante saber que se puede asignar perfiles para N usuarios desde el .aws\credentials con la finalidad que cada usuario (de un determinado proyecto) tenga asinado su propio Access Key.
0 Comentarios