IAM

  1. Control centralizado de AWS
  2. Shared access
  3. Granular permissions
  4. Identity Federation
  5. MFA
  6. Temp access for external users/devices
  7. Password policies

El resumen de todo es:

You manage access in AWS by creating policies and attaching them to IAM identities (users, groups of users, or roles) or AWS resources. A policy is an object in AWS that, when associated with an identity or resource, defines their permissions. AWS evaluates these policies when an IAM principal (user or role) makes a request. Permissions in the policies determine whether the request is allowed or denied. Most policies are stored in AWS as JSON documents. AWS supports six types of policies: identity-based policies, resource-based policies, permissions boundaries, Organizations SCPs, ACLs, and session policies.

Tipos de policies:

  1. AWS managed policies
  2. Customer managed policies
  3. Inline policies: es una policy para un algo en específico.
  4. S3 bucket policies: es sobretodo cuando quieres trabajar con esa S3 en específico
    1. Con esto puedes prohibir http aws:secureTransport:false

Un explicit deny siempre es más fuerte que todo lo demás

S3 ACLs

  • Son legacy (antes de IAM)
  • Aplican a un archivo en específico
  • Si abres el archivo como ACL el link es sin usuario pero si intentas abrirlo desde la consola no podrás. Video S3Acls min9)

Conflicting Policies

  1. Deny siempre gana
  2. Si no hay ningún deny y hay un allow vas a poder acceder

S3 Cross Region replication

  • Usa SSL
  • Delte markes se replican pero no se borra el archivo
  • No se borran versiones del archivo
  • Necesitas versioning enable
  • Se puede hacer a otra cuenta de AWS

Security Token Services (STS)

  • Le da acceso limitado y temporal a usuarios
  • Pueden venir de:
    • Federation (active directory)
    • Federation con mobile apps (Facebook, google o cualquier OpenID)
    • Cross account access

Amazon Cognito

  • Web identity federation
  • Primer con facebook o con quien sea, ese token lo cambias en cognito y te da otro token que te asigna un rol
  • Cognito es un identity provider especializado en mobil applications
  • User pool es el directory
  • Identity pool es el rol de los usuarios que ya se loginearon

Glacier Vault locks

  • Es muy muy barato $0.004 per GB / Month, pero hay otros costos como el retrival
  • Los archivos se guardan en archives y los archives en vaults
  • Vault locks es para compliance (aka que no se borre en X años)
  • Normalmente es WORM (write one read many)

Service control policy son permision boundaries que se aplican a organization units y se heredan. Solo sirven para DENY.