Roles, usuarios y políticas de IAM — ¿cómo aplicas el privilegio mínimo en la nube?
Respuesta breve
Un usuario es una identidad de larga duración con credenciales permanentes; un rol es una identidad sin credenciales permanentes que cualquier principal de confianza puede asumir para obtener tokens de corta duración; una política es el documento JSON que concede permisos, adjunto a cualquiera de los dos. El privilegio mínimo significa preferir roles a usuarios, acotar las políticas a acciones y recursos específicos, y conceder solo lo que una tarea necesita — y luego revisar y depurar con el tiempo.
Esta pregunta separa a quienes usan la nube de quienes la aseguran. Los tres conceptos son distintos, y confundirlos lleva directamente a entornos con permisos excesivos.
Los tres pilares
- Usuario. Una identidad de larga duración, normalmente para un humano, con credenciales permanentes (contraseña, claves de acceso). Las claves permanentes son un riesgo — se filtran en repositorios y registros de CI.
- Rol. Una identidad sin credenciales permanentes. Un principal de confianza (una instancia EC2, una Lambda, otra cuenta, un usuario federado) asume el rol vía STS y recibe tokens de corta duración y rotación automática. Es el patrón preferido para cargas de trabajo y acceso entre cuentas porque no hay secretos estáticos que robar.
- Política. El documento JSON que realmente concede o deniega permisos —
Effect,Action,Resourcey unConditionopcional. Las políticas se adjuntan a usuarios, roles o grupos. Un rol o usuario sin política no puede hacer nada.
Aplicar el privilegio mínimo
El privilegio mínimo significa que cada identidad solo tiene los permisos que un trabajo concreto requiere, y nada más:
- Prefiere roles a usuarios para todo lo que no sea humano, para que no haya claves estáticas.
- Acota acciones y recursos. Sustituye
s3:*sobre*por las acciones concretas sobre ARN concretos. Añade cláusulasCondition(IP de origen, MFA, etiquetas) donde encajen. - Vigila las rutas de escalada. Permisos como
iam:PassRole,iam:CreatePolicyVersiono adjuntar políticas de administrador permiten que una identidad de bajo privilegio se convierta en administrador — el privilegio mínimo debe cubrir las propias acciones de IAM. - Revisa y depura. Usa analizadores de acceso y datos de último uso para eliminar permisos no usados con el tiempo.
Qué buscan los entrevistadores
Definiciones nítidas, un sesgo claro hacia los roles y las credenciales de corta duración, y la conciencia de que los permisos de IAM pueden ser en sí mismos un vector de escalada.
Posibles preguntas de seguimiento
- ¿Cuándo usarías un rol en lugar de un usuario de IAM para una aplicación?
- ¿Cómo acotas una política de un comodín al privilegio mínimo en la práctica?
- ¿Qué es la escalada de privilegios vía IAM, p. ej. un permiso iam:PassRole o de edición de políticas?