Skip to content

Roles, usuarios y políticas de IAM — ¿cómo aplicas el privilegio mínimo en la nube?

Respuesta breve

Un usuario es una identidad de larga duración con credenciales permanentes; un rol es una identidad sin credenciales permanentes que cualquier principal de confianza puede asumir para obtener tokens de corta duración; una política es el documento JSON que concede permisos, adjunto a cualquiera de los dos. El privilegio mínimo significa preferir roles a usuarios, acotar las políticas a acciones y recursos específicos, y conceder solo lo que una tarea necesita — y luego revisar y depurar con el tiempo.

Esta pregunta separa a quienes usan la nube de quienes la aseguran. Los tres conceptos son distintos, y confundirlos lleva directamente a entornos con permisos excesivos.

Los tres pilares

  • Usuario. Una identidad de larga duración, normalmente para un humano, con credenciales permanentes (contraseña, claves de acceso). Las claves permanentes son un riesgo — se filtran en repositorios y registros de CI.
  • Rol. Una identidad sin credenciales permanentes. Un principal de confianza (una instancia EC2, una Lambda, otra cuenta, un usuario federado) asume el rol vía STS y recibe tokens de corta duración y rotación automática. Es el patrón preferido para cargas de trabajo y acceso entre cuentas porque no hay secretos estáticos que robar.
  • Política. El documento JSON que realmente concede o deniega permisos — Effect, Action, Resource y un Condition opcional. Las políticas se adjuntan a usuarios, roles o grupos. Un rol o usuario sin política no puede hacer nada.

Aplicar el privilegio mínimo

El privilegio mínimo significa que cada identidad solo tiene los permisos que un trabajo concreto requiere, y nada más:

  • Prefiere roles a usuarios para todo lo que no sea humano, para que no haya claves estáticas.
  • Acota acciones y recursos. Sustituye s3:* sobre * por las acciones concretas sobre ARN concretos. Añade cláusulas Condition (IP de origen, MFA, etiquetas) donde encajen.
  • Vigila las rutas de escalada. Permisos como iam:PassRole, iam:CreatePolicyVersion o adjuntar políticas de administrador permiten que una identidad de bajo privilegio se convierta en administrador — el privilegio mínimo debe cubrir las propias acciones de IAM.
  • Revisa y depura. Usa analizadores de acceso y datos de último uso para eliminar permisos no usados con el tiempo.

Qué buscan los entrevistadores

Definiciones nítidas, un sesgo claro hacia los roles y las credenciales de corta duración, y la conciencia de que los permisos de IAM pueden ser en sí mismos un vector de escalada.

Posibles preguntas de seguimiento

  • ¿Cuándo usarías un rol en lugar de un usuario de IAM para una aplicación?
  • ¿Cómo acotas una política de un comodín al privilegio mínimo en la práctica?
  • ¿Qué es la escalada de privilegios vía IAM, p. ej. un permiso iam:PassRole o de edición de políticas?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.