¿Cómo funcionan en profundidad los roles y políticas de IAM?

Question

Accepted Answer

Más allá de IAM básico, comprender **roles** (identidades asumidas), **tipos de políticas y evaluación** (cómo se determinan los permisos), y patrones como **acceso entre cuentas** y **roles de servicio** es importante para una gestión segura y bien arquitectada del acceso en AWS.

## Roles en profundidad — quién asume qué

```text
A ROLE has TWO key policies:
  TRUST POLICY → WHO can assume the role (which principals: a service, account, user)
  PERMISSION POLICIES → WHAT the role can do once assumed
Use cases:
  → SERVICE roles — an EC2/Lambda assumes a role to access AWS (no embedded keys)
  → CROSS-ACCOUNT — account B's role trusts account A → A's users assume it (controlled access)
  → FEDERATION/SSO — external identities assume roles (temporary credentials)
→ Roles give TEMPORARY credentials (auto-rotated) — far safer than long-lived keys.
```

## Tipos de políticas

```text
IDENTITY-BASED → attached to users/groups/roles (what THEY can do)
RESOURCE-BASED → attached to a resource (e.g. an S3 bucket policy: who can access IT)
PERMISSION BOUNDARIES → a max-permissions limit on an identity (cap delegated permissions)
SCPs (Service Control Policies) → org-wide guardrails (limit what accounts can do)
→ Effective permissions = the combination, with rules for how they interact.
```

## Evaluación de políticas (cómo se decide el acceso)

```text
1. Explicit DENY anywhere → DENIED (deny always wins)
2. Else, an explicit ALLOW (from identity/resource policy) within bounds → ALLOWED
3. Else (no allow) → DENIED (default deny)
→ Default deny; explicit deny overrides any allow; you need an allow + no deny + within
  any boundaries/SCPs.
```

## Por qué es importante

Comprender los roles y políticas de IAM en profundidad es importante para **una gestión segura y bien arquitectada del acceso en AWS**, por lo que es un conocimiento valioso más allá de los conceptos básicos de IAM.

Comprender **roles en profundidad** — su **política de confianza** (quién puede asumir el rol) y **políticas de permisos** (qué puede hacer) — es clave para los patrones de acceso seguro más importantes: **roles de servicio** (permitir que instancias EC2 y funciones Lambda accedan a recursos de AWS a través de credenciales temporales, rotadas automáticamente, en lugar de claves de larga duración incrustadas — una práctica crítica de seguridad), **acceso entre cuentas** (acceso controlado entre cuentas de AWS a través de asunción de roles), y **federación/SSO** (identidades externas asumiendo roles para acceso temporal).

Los roles que proporcionan credenciales temporales en lugar de claves de larga duración es una mejora fundamental de seguridad.

Comprender los **tipos de políticas** — basadas en identidad (qué pueden hacer los usuarios/roles), basadas en recursos (como las políticas de bucket S3 que controlan quién puede acceder a un recurso), límites de permisos (limitando permisos delegados), y SCPs (guardarriles en toda la organización) — es necesario para el control de acceso sofisticado en organizaciones reales.

Comprender la **lógica de evaluación de políticas** (negación por defecto; una negación explícita en cualquier lugar siempre gana; necesitas una aprobación explícita dentro de cualquier límite y sin negación) es esencial para razonar correctamente sobre qué permisos resultan realmente — una fuente común de confusión donde la incomprensión lleva a un acceso demasiado amplio (riesgo de seguridad) o denegaciones inesperadas (fricción operativa).

Puesto que la gestión segura del acceso es crítica para la seguridad en AWS (y las configuraciones incorrectas de IAM son una causa principal de brechas), y puesto que comprender los roles en profundidad (para patrones de acceso seguros sin credenciales), tipos de políticas (para control en capas), y evaluación de políticas (para razonamiento correcto sobre permisos) es necesario para un acceso bien arquitectado y seguro, comprender los roles y políticas de IAM en profundidad es un conocimiento valioso y prácticamente importante en AWS para seguridad — construyendo sobre los conceptos básicos de IAM para habilitar los patrones de acceso seguro y el razonamiento correcto de permisos que la seguridad profesional en AWS requiere, un área importante donde la profundidad de comprensión afecta directamente la postura de seguridad.