Conceptos Generales

Identities in AWS are

  • IAM Users

  • IAM Groups

  • IAM Roles

Las politicas en IAM son documentos JSON que pueden tener uno o mas "statments" debajo de un gran bloque de "STATEMENT". Por ejemplo:

Las partes de un AWS policy Document son:

  • Sid (opcional): Te ayuda a identificar un bloque de statement y que hace.

  • Effect: La accion que tomara la politica, si es ALLOW o DENY.

  • Action: Consta del servicio de AWS y las API calls permitidas en la politica.

  • Resource: Se puede usar wildcard o se puede especificar una lista de AWS resource.

IAM Policies Order

  1. Explicit DENY: Por defecto las policy son explicit deny. Igual si existe un statement con un DENY sería prioridad y no hay ningun ALLOW que pueda hacer override del Deny Explicito.

  2. Explicit ALLOW: Toman efecto, al menos que haya un explicit DENY ya que el DENY siempre tendra prioridad.

  3. Default DENY (implicit): Es la politica defecto, si no hay un allow o un deny explicito el default es DENY.

Managed policy VS Inline Policies.

Managed:

  • Reusables

  • Baja carga administrativa

Inline:

  • No son re utilizables

  • Se pierden al borrar el usuario o grupo que mantiene el inline policy.

  • Alta carga administrativa.

Las inlince policies deberian ser usadas en casos especiales para hacer una excepcion en un allow or deny.

Datos Adicionales

  • Cada cuenta soporta un maximo de 5,000 IAM users. (hard limit)

  • Cada usuario puede pertenecer a un maximo de 10 grupos. (hard limit)

  • IAM Groups pueden tener inline o managed policies.

  • Se pueden crear hasta 300 grupos por cuenta (soft limit)

  • Los IAM Groups no son una identidad y no pueden ser usados como referencia en un Resource Policy.

PreviousIAMNextAmazon Resource Name (ARN)

Last updated