IAM
- Control centralizado de AWS
- Shared access
- Granular permissions
- Identity Federation
- MFA
- Temp access for external users/devices
- Password policies
El resumen de todo es:
You manage access in AWS by creating policies and attaching them to IAM identities (users, groups of users, or roles) or AWS resources. A policy is an object in AWS that, when associated with an identity or resource, defines their permissions. AWS evaluates these policies when an IAM principal (user or role) makes a request. Permissions in the policies determine whether the request is allowed or denied. Most policies are stored in AWS as JSON documents. AWS supports six types of policies: identity-based policies, resource-based policies, permissions boundaries, Organizations SCPs, ACLs, and session policies.
Tipos de policies:
- AWS managed policies
- Customer managed policies
- Inline policies: es una policy para un algo en específico.
- S3 bucket policies: es sobretodo cuando quieres trabajar con esa S3 en específico
- Con esto puedes prohibir http aws:secureTransport:false
Un explicit deny siempre es más fuerte que todo lo demás
S3 ACLs
- Son legacy (antes de IAM)
- Aplican a un archivo en específico
- Si abres el archivo como ACL el link es sin usuario pero si intentas abrirlo desde la consola no podrás. Video S3Acls min9)
Conflicting Policies
- Deny siempre gana
- Si no hay ningún deny y hay un allow vas a poder acceder
S3 Cross Region replication
- Usa SSL
- Delte markes se replican pero no se borra el archivo
- No se borran versiones del archivo
- Necesitas versioning enable
- Se puede hacer a otra cuenta de AWS
Security Token Services (STS)
- Le da acceso limitado y temporal a usuarios
- Pueden venir de:
- Federation (active directory)
- Federation con mobile apps (Facebook, google o cualquier OpenID)
- Cross account access
Amazon Cognito
- Web identity federation
- Primer con facebook o con quien sea, ese token lo cambias en cognito y te da otro token que te asigna un rol
- Cognito es un identity provider especializado en mobil applications
- User pool es el directory
- Identity pool es el rol de los usuarios que ya se loginearon
Glacier Vault locks
- Es muy muy barato $0.004 per GB / Month, pero hay otros costos como el retrival
- Los archivos se guardan en archives y los archives en vaults
- Vault locks es para compliance (aka que no se borre en X años)
- Normalmente es WORM (write one read many)
Service control policy son permision boundaries que se aplican a organization units y se heredan. Solo sirven para DENY.