AWS – Crear y securizar una cuenta

0
470

Índice de contenidos

1. Introducción

En este tutorial tendremos una breve introducción a AWS, una mejor comprensión del proceso de creación de cuentas y una aclaración de las partes que pueden resultar más confusas para los nuevos usuarios. Luego, securizamos esa cuenta utilizando las recomendaciones y mejores prácticas de AWS y aclarando el concepto de grupos, usuarios y políticas de permisos. Al final, crearemos un presupuesto para esa cuenta, con alerta por correo electrónico si excedemos una cierta cantidad de dinero.

2. Que es AWS

Amazon Web Services (AWS) ofrece una amplia gama de productos globales basados en la nube para diferentes propósitos comerciales. Los productos incluyen almacenamiento, bases de datos, análisis, redes, dispositivos móviles, herramientas de desarrollo, aplicaciones empresariales, con un modelo de precios de pago por uso. Sin embargo, veamos qué más es AWS además de que es una compañía que ofrece un amplio rango de servicios en la nube que podemos usar. Ahora desplácese hacia abajo para ver la vista de su infraestructura global.

infraestructura-img

Cada uno de estos círculos que se ven es un gran centro de datos propiedad de AWS y operado por ellos. Como también vemos, esperamos uno pronto ¡en España! No son solo edificios con un par de máquinas. En cada centro de datos hay un gigantesco paquete completo de ordenadores.

Cada uno de estos centros de datos, también llamados Regiones tienen zonas de disponibilidad que son básicamente partes independientes dentro de una región. Es una buena practica desplegar nuestras instancias de servicios por varias zonas de disponibilidad. Si una zona falla por algún motivo, sus servicios seguirán en línea ya que se compartirán con las otras zonas de la región.Por lo tanto, debemos elegir una región que esté físicamente cerca de nosotros y así asegurar que la latencia es baja.

3. Crear una cuenta

Comenzar a usar AWS puede ser difícil debido a su gran variedad de productos y servicios. Hay tantos que podemos confundirnos fácilmente sobre cuál deberíamos usar. Antes de eso, creemos una cuenta y expliquemos el proceso paso a paso y algunos otros puntos clave al comenzar con AWS.

Vaya al sitio web de AWS y haga clic en el botón «sign in to the Console» ubicado en la esquina superior derecha. Si nunca ha iniciado sesión en AWS, el mismo botón puede decir «create a new AWS account».

img-console

Paso 1 – Create an AWS account
Ahora serás redirigido a la página de iniciar sesión o a la de crear cuenta. No te preocupes por la selección entre «Root y IAM user». Lo veremos más tarde. Ahora haga clic en «Create a new AWS account» y vas a ver la pantalla siguiente.

img

Como podemos ver, nos dicen que los primeros 12 meses después del primer inicio de sesión en nuestra cuenta serán gratuitos. Pero tenga en cuenta que es gratis solo si no superamos algunos límites establecidos por AWS, por lo que es fácil que nos cobren. Estos límites pueden ser, por ejemplo, exceder la potencia de la CPU, exceder la carga que el servidor puede soportar para su plan específico. Exceder la RAM, etc.

Paso 2 – personal data
En la siguiente pantalla, para nuestros propósitos de prueba, elijamos la cuenta «Personal» y completemos el formulario sin una dirección para que puedan usarlo para la facturación.

img

Paso 3 – payment details
En el siguiente paso, debemos verificar nuestra identidad al proporcionar nuestra tarjeta de crédito / débito. Tiene dos propósitos. Un pequeño cargo de 1.00 USD para verificar que la tarjeta sea válida y que la tarjeta no haya sido reportada como extraviada o robada. Y como ya dijimos, necesitan nuestros detalles de pago para cobrarnos si excedemos las limitaciones libres. Ponga los detalles de su tarjeta y procedamos. La cantidad de 1.00 USD no se va a cobrar realmente, y tiene que desaparecer en algunos días.
img

Paso 4 – Confirm Your identity
En esta página, necesitaremos confirmar nuestra identidad ingresando nuestro número de teléfono y recibiremos un SMS o una llamada proporcionándonos un código. Tenga en cuenta que a veces tiene que esperar hasta 10 minutos para recibir el SMS de verificación.

img

Paso 5 – Choose plan
A continuación, elija el plan gratuito y en la siguiente pantalla click en «sign in to the console».

img

4. Resumen de inicio de sesión

Así que ahora volvemos a esta pantalla donde hablaremos sobre el inicio de sesión como root e iniciaremos sesión como usuario de IAM.
img

Cuando crea por primera vez una cuenta de Amazon Web Services (AWS), comienza con una «single sign-in identity» que tiene acceso completo a todos los servicios y recursos de AWS en la cuenta. Esta identidad se denomina usuario raíz de la cuenta de AWS y se accede iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó para crear la cuenta.

Aviso: Se recomienda encarecidamente que no utilice el usuario root para sus tareas diarias, incluso las administrativas. En cambio, adhiérase a la mejor práctica de usar el usuario raíz solo para crear su primer usuario de IAM. Luego, bloquee de forma segura las credenciales de usuario raíz y úselas para realizar solo unas pocas tareas de administración de cuentas y servicios.

IAM significa Identity and Access Management. Le permite administrar el acceso a los servicios y recursos de AWS de forma segura. Utilizando IAM, puede crear y administrar usuarios y grupos de AWS, y usar permisos para permitir y denegar su acceso a los recursos de AWS. Así que ingresemos a la consola de AWS como usuario ROOT, ingresando el correo electrónico que utilizamos para registrarnos.

¡Enhorabuena, ha iniciado sesión y debería ver la consola de administración!

img

5. Securizar la cuenta

Una buena práctica que debemos hacer inmediatamente después de iniciar sesión es seguir algunos pasos para securizar nuestra cuenta de AWS. ¿Podría preguntar por qué, ya que es una cuenta solo para fines de investigación y como prueba? Bueno, es cierto, pero no olvide que si alguien más tiene acceso a su cuenta no segura, puede generar fácilmente una gran cantidad de facturación utilizando un servicio costoso sin su conocimiento. Así que securizamos esa cuenta.

En la barra de búsqueda, escriba IAM y seleccione el resultado que aparece.

img

Verá la siguiente pantalla

img

Paso 1 – Activate MFA (multi-factor authentication) on your root account
En la pantalla de IAM, haz click en «MANAGE MFA»

img

Luego, click en «ACTIVATE MFA»

img

En la siguiente pantalla, habrá 3 opciones para elegir.

img

Para este ejemplo, me gustaría usar «Dispositivo virtual MFA». He instalado la aplicación Google Authenticator app (iOS, Android) en mi teléfono, por lo que seguiré los pasos para integrarlo.

img

Abra la aplicación de autenticación de Google y muestre el código QR que se escaneará. Entonces, la aplicación escupirá una nueva clave cada unos segundos. Introduzca las 2 claves generadas en secuencia por el autenticator en su móvil y pulse siguiente.

Al final, debería ver la siguiente pantalla:

img

Paso 2 – Create IAM user

Primero, hablemos de los usuarios en cuestión de AWS. Acabamos de crear e iniciar sesión en nuestra cuenta de, digamos, nuestra organización. Allí podemos crear diferentes usuarios, de diferentes grupos, con diferentes permisos. Supongamos que tiene 1 administrador, 3 desarrolladores, 1 operaciones de desarrollo y un administrador. Todos estos usuarios estarán asociados a la cuenta que acaba de crear e ingresó como root.

Entonces, asegurémonos de que el acceso y los permisos funcionan. Tenemos grupos, tenemos usuarios, roles y políticas. Podemos verlo a la izquierda de la pantalla.

img

Creemos un nuevo grupo de administradores, con derechos de administrador completos. Vaya a grupos y haga clic en Crear nuevo grupo. Demos el nombre del grupo «admins», y luego veremos el siguiente paso que consiste en adjuntar políticas al grupo. Elija la política de «AdministratorAccess» y click al siguiente paso donde vamos a ver un review de el grupo que vamos a crear.

img

Clicamos a «create group» y ya tenemos nuestro grupo de administradores.

Ahora, avancemos y creemos un nuevo usuario que pertenezca a ese grupo. Desde la misma pantalla (el Dashboard de IAM), vaya a la parte izquierda y elija Users -> Add User.

Vamos a ver la pantalla siguiente

img

Aquí la elección del tipo de acceso es importante. Tenemos dos opciones:

  • Acceso programático es un tipo de acceso desde la interfaz de línea de comandos de AWS utilizado por los desarrolladores. Por ejemplo, para insertar código en AWS o ejecutar otros comandos relacionados con la programación.
  • Acceso a la consola de administración de AWS es básicamente un tipo de acceso para usuarios que solo acceden a la consola que estamos usando en este momento para monitorear o administrar.

Entonces, después de elegir el tipo de acceso (en este caso, solo acceso a la consola), debemos elegir una contraseña para el usuario y continuar. La siguiente pantalla nos dará la oportunidad de asignar al usuario a un grupo. Vamos a asignarlo a nuestro grupo de administradores.

img

Importante: Si no asignamos al usuario a ningún grupo, no tendrá ningún permiso.

Clicamos 2 veces, por que no necesitamos tags y hemos visto el review, y al final tenemos nuestro usuario creado.

img

Arriba en el cuadro de éxito verde, podemos ver una URL. Esta URL es la URL de inicio de sesión para este usuario. Cuando usamos el botón de abajo «Download as csv» todos los detalles de la tabla se van a descargar. Incluso el enlace de login.

Volvamos a la página de administración de IAM y veamos cómo va la verificación de seguridad.

img

Como podemos ver, hemos activado con éxito las otras medidas de seguridad, y la única que queda es «Aplicar una política de contraseña de IAM».

Como acaba de crear su cuenta, que ya tiene autenticación de dos factores, en mi opinión, no tiene que hacer este paso. Básicamente se trata de crear una política personalizada para las contraseñas y establecer fechas de vencimiento. Si trabaja en una organización más grande, este paso también es obligatorio.

6. Crear un presupuesto para la cuenta y activar una alerta

Como estamos usando el nivel gratuito de AWS, siempre es una buena idea tener habilitadas las alertas de un presupuesto. En esta sección, le mostraré cómo hacerlo para que pueda estar más seguro de probar cosas nuevas sin preocuparse de que le cobren una cantidad de dinero no deseada. Entonces, procedamos a crear un presupuesto y activar una notificación por correo electrónico cuando lo exceda.

Inicie sesión en la consola como el usuario root (porque es el único que tiene acceso a la información de facturación). Luego en la barra de búsqueda de la consola de administración de AWS, escriba «Billing» y elija el resultado que aparece.

img

Entonces, en la siguiente pantalla elija «Budgets» desde el lado derecho del menú. Luego haga clic en «Create a budget»

img

En el siguiente paso, debemos elegir el tipo de presupuesto. Lo que nos interesa ahora es el «Cost budget» que dice
«Controle sus costos con respecto a un monto específico y reciba alertas cuando se cumplan los umbrales definidos por el usuario»
.

Elija ese presupuesto y continúe con el siguiente paso.

img

En el siguiente formulario, establezca el nombre y el importe del presupuesto. Elija las otras opciones de configuración como la captura de pantalla para crear un Presupuesto mensual que sea fijo y comience desde el mes actual. Las opciones avanzadas ya están preconfiguradas y no necesitan retoques.

  • Name -> el nombre de nuestro presupuesto
  • Period -> monthly
  • Budget effective dates -> Recurring Budget – Este tipo de presupuesto se renovará el primer día de cada período de facturación mensual
  • Budget amount -> Fixed -> 5$

img

La siguiente pantalla está dedicada a crear realmente la alerta para el presupuesto. Configuremos esa alerta para enviarnos un correo electrónico cuando superemos el 50% del importe del presupuesto. En nuestro caso, el presupuesto mensual es de 5 USD, por lo que siempre que superemos los 2,50 USD, recibiremos un correo electrónico. Podemos ver la configuración de alerta en la captura de pantalla a continuación.

img

Como podemos ver en la configuración, hemos establecido recibir una notificación si superamos el 50% del monto del presupuesto. Allí podemos agregar varios correos electrónicos de contacto que van a recibir una notificación. Pasemos a la página siguiente donde veremos el resumen de nuestro presupuesto, incluida la alerta que hemos creado. ¡Haga clic en el botón Crear presupuesto y ahí lo tenemos! Debería ver una pantalla que confirma que ha creado el presupuesto y la información general del dinero gastado actual, y cuál es el presupuesto total. Si desea ver más información sobre el presupuesto, haga clic en su nombre.

img

7. Conclusión

En conclusión, tenemos una cuenta segura en AWS que está lista para algunos propósitos de prueba, investigación y aprendizaje. Entendemos cuál es la diferencia entre un usuario raíz y un usuario de IAM, cómo podemos crear un usuario y asignarlo a un grupo con un permiso específico. Hemos activado la autenticación de 2 factores para asegurarnos de que nadie se rompa incluso si la contraseña está expuesta. Hemos manejado la parte de pago y hemos configurado un presupuesto y una alerta, para que podamos ser notificados si cometemos ciertos errores y se nos cobra. El siguiente paso es aprender más sobre la terminología en AWS y luego comenzar a jugar con algunos de sus servicios.

Dejar respuesta

Please enter your comment!
Please enter your name here