¿Qué es AWS IAM?

Question

¿Qué es AWS IAM?

Accepted Answer

**IAM** (Identity and Access Management) controla **quién puede hacer qué** en AWS — gestionando usuarios, grupos, roles y permisos. Es fundamental para la seguridad de AWS: cada acción se autoriza a través de IAM, por lo que comprenderlo es esencial.

## Qué gestiona IAM

```text
IAM controls AUTHENTICATION (who you are) and AUTHORIZATION (what you can do):
  USERS    → individual identities (people or applications) with credentials
  GROUPS   → collections of users (assign permissions to a group → all its users get them)
  ROLES    → identities ASSUMED temporarily (by users, services, or AWS resources)
             — no permanent credentials; key for services/cross-account access
  POLICIES → JSON documents defining PERMISSIONS (what actions on what resources)
```

## Políticas — definiendo permisos

```json
{
  "Effect": "Allow",
  "Action": ["s3:GetObject", "s3:PutObject"],
  "Resource": "arn:aws:s3:::my-bucket/*"
}
// → allows getting/putting objects in my-bucket (and nothing else)
```

Las políticas (JSON) especifican **qué acciones** se permiten/deniegan en **qué recursos** — se adjuntan a usuarios, grupos o roles para otorgar permisos.

## Roles — credenciales temporales (muy importante)

```text
ROLES grant temporary permissions without long-lived credentials:
  → an EC2 instance assumes a role → its app accesses S3 (no embedded keys!)
  → a Lambda function assumes a role for its permissions
  → cross-account access; federated/SSO access
→ Roles avoid hardcoding credentials — a security best practice.
```

## Mejores prácticas

```text
✓ LEAST PRIVILEGE — grant only the permissions actually needed (not broad/admin)
✓ Use ROLES for applications/services (not embedded access keys)
✓ Enable MFA; protect the root account (don't use it for daily work)
✓ Use groups for permission management; rotate credentials; audit access
```

## Por qué es importante

Comprender IAM es esencial porque es la base de la seguridad de AWS — cada acción en AWS se autoriza a través de IAM, por lo que es conocimiento fundamental e imprescindible para trabajar con AWS de forma segura.

IAM controla **quién puede hacer qué** a través de sus componentes principales: **usuarios** (identidades con credenciales), **grupos** (para gestionar permisos colectivamente), **roles** (identidades asumidas temporalmente) y **políticas** (documentos JSON que definen permisos).

Comprender **políticas** (especificando qué acciones se permiten en qué recursos) es necesario para otorgar y entender los permisos correctamente.

Comprender **roles** es particularmente importante: proporcionan **credenciales temporales sin claves de larga duración**, permitiendo que instancias EC2, funciones Lambda y otros servicios accedan a recursos de AWS de forma segura **sin incrustar claves de acceso** — una práctica de seguridad crítica que evita el riesgo serio de credenciales codificadas.

Comprender las **mejores prácticas** — especialmente **privilegio mínimo** (otorgando solo los permisos realmente necesarios, no acceso amplio de administrador, limitando el radio de impacto de cualquier compromiso), usar roles para aplicaciones, habilitar MFA y proteger la cuenta raíz — es esencial para la seguridad de AWS, ya que las misconfiguraciones de IAM (permisos demasiado amplios, credenciales filtradas) son una fuente común de incidentes de seguridad.

Como IAM es el guardián para todo acceso a AWS y configurarlo correctamente es fundamental para la seguridad (mientras que hacerlo mal causa brechas serias), y como entender usuarios, roles, políticas y mejores prácticas como privilegio mínimo es esencial para trabajar con AWS de forma segura, entender IAM es conocimiento fundamental y esencial de AWS — un tema de seguridad crítico que todo usuario de AWS debe entender, central para usar AWS de forma segura y evitar los errores de control de acceso que llevan a incidentes de seguridad reales.