Buenas Prácticas con AWS IAM: Guía Completa para Seguridad en la Nube

AWS Identity and Access Management (IAM) es uno de los servicios más críticos de Amazon Web Services. Una configuración incorrecta de IAM puede comprometer la seguridad de toda tu infraestructura cloud. En esta guía completa, exploraremos las mejores prácticas para implementar IAM de forma segura y eficiente.

¿Por Qué es Crítico IAM?

IAM es el guardián de tu cuenta AWS. Controla:

Quién puede acceder a tus recursos (Autenticación)
Qué pueden hacer con esos recursos (Autorización)
Cuándo y desde dónde pueden acceder (Condiciones)

Un error en IAM puede resultar en:

💸 Costos inesperados por recursos no autorizados
🔓 Brechas de seguridad y exposición de datos
🚫 Interrupciones del servicio por permisos incorrectos
📋 Problemas de compliance y auditoría

Principios Fundamentales de IAM

1. Principio de Menor Privilegio

Otorga solo los permisos mínimos necesarios para realizar una tarea específica.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::mi-bucket-especifico/*"
    }
  ]
}

❌ Evita esto:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    }
  ]
}

2. Defensa en Profundidad

Implementa múltiples capas de seguridad:

Políticas de IAM
Grupos de seguridad
NACLs (Network Access Control Lists)
Cifrado
Logging y monitoreo

3. Separación de Responsabilidades

Divide los permisos según roles y responsabilidades:

Desarrolladores: Acceso a recursos de desarrollo
Administradores: Gestión de infraestructura
Auditores: Solo lectura para compliance

Mejores Prácticas para Usuarios IAM

1. No Uses la Cuenta Root

La cuenta root tiene acceso completo e irrestricto. Úsala solo para:

Configuración inicial de la cuenta
Tareas que requieren específicamente la cuenta root
Emergencias críticas

Configuración recomendada para root:

✅ Habilitar MFA
✅ Crear una contraseña fuerte y única
✅ No crear access keys
✅ Monitorear su uso con CloudTrail

2. Implementa Multi-Factor Authentication (MFA)

Habilita MFA para todos los usuarios, especialmente aquellos con permisos administrativos.

1
2
3
4
5
6
# Habilitar MFA via CLI
aws iam enable-mfa-device \
    --user-name juan.perez \
    --serial-number arn:aws:iam::123456789012:mfa/juan.perez \
    --authentication-code1 123456 \
    --authentication-code2 789012

Tipos de MFA recomendados:

🔐 Hardware MFA: YubiKey, Gemalto
📱 Virtual MFA: Google Authenticator, Authy
📞 SMS MFA: Solo como último recurso

3. Rotación Regular de Credenciales

Rota las access keys regularmente:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
# Script para rotar access keys
#!/bin/bash
USER_NAME="mi-usuario"

# Crear nueva access key
NEW_KEY=$(aws iam create-access-key --user-name $USER_NAME --output text --query 'AccessKey.[AccessKeyId,SecretAccessKey]')
NEW_ACCESS_KEY_ID=$(echo $NEW_KEY | cut -d' ' -f1)
NEW_SECRET_KEY=$(echo $NEW_KEY | cut -d' ' -f2)

echo "Nueva Access Key creada: $NEW_ACCESS_KEY_ID"
echo "Actualiza tus aplicaciones con las nuevas credenciales"
echo "Después ejecuta: aws iam delete-access-key --user-name $USER_NAME --access-key-id OLD_ACCESS_KEY_ID"

Gestión de Roles IAM

1. Usa Roles en Lugar de Usuarios para Aplicaciones

Los roles son más seguros que hardcodear credenciales:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

2. Implementa Cross-Account Roles

Para acceso entre cuentas AWS:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::CUENTA-EXTERNA:user/usuario-externo"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "unique-external-id-123"
        }
      }
    }
  ]
}

3. Configura Session Duration Apropiada

1
2
3
4
5
# Asumir rol con duración específica
aws sts assume-role \
    --role-arn arn:aws:iam::123456789012:role/MiRol \
    --role-session-name MiSesion \
    --duration-seconds 3600  # 1 hora

Políticas IAM Avanzadas

1. Usa Condiciones para Mayor Seguridad

Restricción por IP:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource": "*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": ["203.0.113.0/24", "198.51.100.0/24"]
        }
      }
    }
  ]
}

Restricción por horario:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "08:00:00Z"
        },
        "DateLessThan": {
          "aws:CurrentTime": "18:00:00Z"
        }
      }
    }
  ]
}

2. Implementa Resource-Based Policies

Política de bucket S3:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyInsecureConnections",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": [
        "arn:aws:s3:::mi-bucket-seguro",
        "arn:aws:s3:::mi-bucket-seguro/*"
      ],
      "Condition": {
        "Bool": {
          "aws:SecureTransport": "false"
        }
      }
    }
  ]
}

3. Usa Permission Boundaries

Establece límites máximos de permisos:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:*",
        "ec2:Describe*",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "iam:*",
        "organizations:*",
        "account:*"
      ],
      "Resource": "*"
    }
  ]
}

Monitoreo y Auditoría

1. Habilita CloudTrail

1
2
3
4
5
6
7
# Crear trail para auditoría
aws cloudtrail create-trail \
    --name mi-trail-auditoria \
    --s3-bucket-name mi-bucket-cloudtrail \
    --include-global-service-events \
    --is-multi-region-trail \
    --enable-log-file-validation

2. Configura Alertas de Seguridad

CloudWatch Alarm para uso de root:

1
2
3
4
5
6
aws logs put-metric-filter \
    --log-group-name CloudTrail/MyCloudTrailLogs \
    --filter-name RootAccountUsage \
    --filter-pattern '{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }' \
    --metric-transformations \
        metricName=RootAccountUsageCount,metricNamespace=CloudWatchLogMetrics,metricValue=1

3. Usa AWS Config para Compliance

1
2
3
4
5
6
7
8
{
  "ConfigRuleName": "iam-user-mfa-enabled",
  "Description": "Verifica que todos los usuarios IAM tengan MFA habilitado",
  "Source": {
    "Owner": "AWS",
    "SourceIdentifier": "IAM_USER_MFA_ENABLED"
  }
}

Herramientas y Automatización

1. AWS IAM Access Analyzer

1
2
3
4
# Crear analyzer
aws accessanalyzer create-analyzer \
    --analyzer-name mi-analyzer \
    --type ACCOUNT

2. IAM Policy Simulator

Prueba políticas antes de aplicarlas:

1
2
3
4
aws iam simulate-principal-policy \
    --policy-source-arn arn:aws:iam::123456789012:user/testuser \
    --action-names s3:GetObject \
    --resource-arns arn:aws:s3:::mi-bucket/mi-objeto

3. Terraform para IAM

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
# Ejemplo de usuario IAM con Terraform
resource "aws_iam_user" "developer" {
  name = "developer-user"
  path = "/developers/"
  
  tags = {
    Department = "Engineering"
    Project    = "WebApp"
  }
}

resource "aws_iam_user_policy_attachment" "developer_policy" {
  user       = aws_iam_user.developer.name
  policy_arn = aws_iam_policy.developer_policy.arn
}

resource "aws_iam_policy" "developer_policy" {
  name        = "DeveloperPolicy"
  description = "Policy for developers"
  
  policy = jsonencode({
    Version = "2012-10-17"
    Statement = [
      {
        Effect = "Allow"
        Action = [
          "s3:GetObject",
          "s3:PutObject"
        ]
        Resource = "arn:aws:s3:::dev-bucket/*"
      }
    ]
  })
}

Casos de Uso Comunes

1. Desarrollador con Acceso Limitado

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Environment": "Development"
        }
      }
    }
  ]
}

2. Rol para Lambda Function

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "arn:aws:logs:*:*:*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "dynamodb:GetItem",
        "dynamodb:PutItem",
        "dynamodb:UpdateItem"
      ],
      "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MiTabla"
    }
  ]
}

Checklist de Seguridad IAM

✅ Configuración Inicial

Cuenta root protegida con MFA
No hay access keys en la cuenta root
CloudTrail habilitado en todas las regiones
Política de contraseñas configurada

✅ Usuarios y Grupos

Usuarios organizados en grupos lógicos
MFA habilitado para usuarios con permisos administrativos
Rotación regular de access keys
Usuarios inactivos deshabilitados

✅ Roles y Políticas

Principio de menor privilegio aplicado
Roles usados para aplicaciones en lugar de usuarios
Permission boundaries implementadas donde sea necesario
Políticas documentadas y versionadas

✅ Monitoreo y Auditoría

Alertas configuradas para actividades sospechosas
Access Analyzer ejecutándose regularmente
Revisiones periódicas de permisos
Logs de CloudTrail monitoreados

Errores Comunes a Evitar

❌ Permisos Excesivos

1
2
3
4
5
6
// NO hagas esto
{
  "Effect": "Allow",
  "Action": "*",
  "Resource": "*"
}

❌ Hardcodear Credenciales

1
2
3
# NO hagas esto
aws_access_key_id = "AKIAIOSFODNN7EXAMPLE"
aws_secret_access_key = "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"

❌ No Usar MFA

1
2
# Siempre habilita MFA para usuarios críticos
aws iam enable-mfa-device --user-name admin-user

❌ Compartir Credenciales

Cada persona debe tener sus propias credenciales
Usa roles para acceso entre servicios
Implementa federation para usuarios externos

Conclusión

La seguridad en AWS comienza con una configuración correcta de IAM. Implementar estas mejores prácticas te ayudará a:

🔒 Proteger tus recursos y datos
📊 Mantener visibilidad y control
⚡ Escalar de forma segura
📋 Cumplir con requisitos de compliance

Recuerda que la seguridad es un proceso continuo, no un destino. Revisa y actualiza regularmente tus políticas IAM conforme evolucionen tus necesidades.

Próximos Pasos

Audita tu configuración actual de IAM
Implementa las mejores prácticas gradualmente
Automatiza la gestión de políticas con IaC
Monitorea continuamente el acceso y uso

¿Tienes preguntas sobre IAM o necesitas ayuda implementando estas prácticas? ¡No dudes en contactarme o dejar un comentario!