Hay 5 grandes formas de tener un AWS Directory. Sirve para conectar tu on-premise a tu cloud.
- AWS puede mantener tus AD (multi AZ, patching, monitoring, etc) Pero tu eres responsable de users, groups, y GPOs. Igual trusts y federations
- Simple AD (Standalone manage directory) Puede funcionar con linux pero no TRUST
- AD Connector (directory gateway for On-premise AD).
- Cloud directory es para developers not AD
- Cognito no es un directory service pero es un managed user directory for SaaS (como logearte con linkedin)
IAM policies
- Resources
- User based
- Explicit deny esta por default y le gana a todo (si pones un deny y un allowed el deny gana)
- tienes que atacharlas
- AWS joins las policies
- Permissions boundaries, es lo máximo permitido que puede hacer por ejemplo. Si es un admin pero el boundary es para EC2, solo va a ser admin en EC2.
AWS RAM (resource access manager) para compartir resources entre accounts
Note para labs ^^
SAML=SSO para el examen igual existing identities.