Definición: Servicio de gestion de identidad y acceso de AWS que controla de forma granular quien puede hacer que con los recursos cloud.
— Fuente: NERVICO, Consultoría de Desarrollo de Producto
Que es AWS IAM
AWS Identity and Access Management (IAM) es el servicio que controla la autenticacion y autorizacion en una cuenta de AWS. Permite definir con precision quien (usuarios, aplicaciones, servicios) puede acceder a que recursos y que acciones puede realizar sobre ellos. IAM es un servicio global que no tiene coste adicional y se aplica transversalmente a todos los servicios de AWS. Cada interaccion con la API de AWS se evalua contra las politicas de IAM antes de ejecutarse.
Como funciona
IAM organiza el acceso mediante cuatro conceptos principales. Los usuarios representan personas con credenciales permanentes. Los roles representan identidades temporales que pueden asumir usuarios, servicios o aplicaciones. Los grupos agrupan usuarios con permisos comunes. Las politicas son documentos JSON que definen permisos especificos: que acciones se permiten o deniegan sobre que recursos y bajo que condiciones. El principio de minimo privilegio recomienda otorgar solo los permisos estrictamente necesarios. IAM soporta autenticacion multifactor (MFA), federacion con proveedores de identidad externos y claves de acceso programatico para integracion con herramientas de CI/CD y scripts de automatizacion.
Por que importa
Un error en la configuracion de acceso puede exponer datos sensibles o permitir la modificacion no autorizada de infraestructura critica. IAM es la primera linea de defensa en la seguridad de cualquier entorno AWS. Para equipos que cumplen con estandares como SOC 2, la configuracion correcta de IAM es un requisito auditado. El principio de minimo privilegio aplicado mediante IAM limita el impacto potencial de una credencial comprometida o un error humano.
Ejemplo practico
Un equipo de desarrollo configura IAM siguiendo el principio de minimo privilegio. Los desarrolladores tienen un rol que permite desplegar en el entorno de staging pero no en produccion. El pipeline de CI/CD asume un rol con permisos especificos para desplegar en produccion tras pasar los tests automatizados. La cuenta de AWS tiene MFA obligatorio para todos los usuarios. Un nuevo ingeniero que accidentalmente intenta eliminar una base de datos de produccion recibe un error de permisos insuficientes, evitando una interrupcion del servicio.