IAM (Identity and Access Management) es un servicio para administrar todo lo que se refiere a Usuarios, Grupos, permisos, accesos a los diferentes servicios y recursos dentro de la consola de AWS de Amazon.
Este tipo de servicio es bastante extenso en lo que a opciones se refiere y da para hacer un libro, pero de momento me centrare en este laboratorio que voy a hacer sobre como delegar acceso a la consola de facturación de AWS a un usuario IAM, como por ejemplo a un usuario o grupo de un departamento en concreto.
Creación de Grupo
Como buena practica crearemos un grupo desde el servicio Indentity and Access Management (IAM) para facilitarnos la administración y el acceso a cierto servicios de usuarios que vayamos añadiendo a este grupo.
IAM –> Crear un grupo
Empieza el asistente y ponemos un nombre descriptivo al grupo.
A este grupo, le asociaremos la política Billing, en este caso al ser el departamento financiero, solo quiero que accedan a la facturación, métodos de pago, acceso a la cuenta… pero nada mas, no quiero que tengan permiso de nada mas que no sea la facturación.
Los permisos se podrían restringir mas o incluso podríamos crear una política personalizada, pero para el ejemplo de hoy es mas que suficiente, así que seleccionamos la política y siguiente.
Ultima revisión y hacemos clic en crear grupo.
Creación de usuario
El siguiente paso sera crear el o los usuarios, así que hacemos clic sobre Añadir usuario(s).
Ponemos un nombre al usuario, marcamos la opción de Acceso a la consola de administración de AWS, seleccionamos contraseña personalizada y requerir el restablecimiento de contraseña, de esta manera cuando haga login por primera vez, le pedirá cambiar la contraseña.
Creado el usuario, lo añadiremos seleccionando el grupo, siguiente.
De manera opcional, añadiremos etiquetas para incluir información del usuario.
Revisar y crear usuario.
En el resumen podremos ver toda la configuración aplicada.
Acceso a la consola con el nuevo usuario
Creado el usuario es momento de probar los permisos del nuevo usuario y grupo. Nos dirigimos a la consola de AWS y en las opciones de acceso seleccionamos «Usuario de IAM», introducimos el ID de la cuenta y siguiente.
Nos pedirá el cambio de contraseña y lo confirmamos.
Una vez dentro, puede que nos muestre un mensaje como el de la siguiente imagen y nuestra pregunta será: «pero si ya le hemos dado permisos»
Acceso de los roles y usuarios de IAM a la información de facturación
Si, se le han dado permisos, pero no hemos activado el acceso de roles y usuarios de IAM. Como lo activamos? pues salimos de la consola y accedemos con el usuario raíz.
Una vez dentro, vamos a Mi cuenta
Y nos movemos por la pagina hasta mitad-abajo de la pagina.
En Acceso de los roles y usuarios de IAM a la información de facturación, veremos como hay un mensaje de «El acceso de los usuarios o roles de IAM a la información de facturación esta desactivado», para activarlo le daremos a Editar
Marcamos el check de Activar el acceso de IAM y le damos a actualizar.
Una vez actualizado, si vamos al panel de facturación, podremos ver todas los costos, facturación, gastos etc
Y si intentamos acceder a algún otro servicio que no sea el de facturación y del que no tengamos permisos, no nos dejara hacer nada.
Saludos y espero que os sirva.