Wilson Roa – 1401219

Stiven Roa – 1802515

Maikol Castro – 1401206

LABORATORIO No. 6 (GESTION DE IDENTIDAD Y ACCESO IAM)

Ejercicio 6.1

Crear un grupo IAM

Un grupo IAM es aquel le que reúne una serie de usuarios los cuales cuentan con una serie
de permisos que ofrece el usuario root, en este ejercicio vamos a crear un grupo de
administración y le asignaremos algunas políticas de gestión.

 Iniciamos sesión como usuario root, en nuestra cuenta de AWS y entramos a la consola
AIM.

 Nos dirigimos a la opción groups y le damos crear grupo; allí le asignamos un nombre al
grupo que en este caso será Administradores
 Luego de haber creado el grupo, procedemos a asignarles las políticas de gestión, la
primera que le asignamos es la política IAMFullAccess Esta nos permite el acceso total a
la consola de AWS desde el grupo IAM.

Ejercicio 6.2

En este ejercicio se va a personalizar la manera en que podemos entrar a la consola y vamos

a crear políticas de contraseñas para la cuenta.

1. Personalizar el nombre de la cuenta.

 Primero entramos a la consola de IAM y podemos observar el link por el cual nuestros
usuarios IAM van a acceder a la consola de AWS.
Como vemos el nombre de la cuenta es un numero un poco extenso y difícil de identificar,
para que entrar la a cuenta sea un poco mas sencillo vamos a personalizar ese nombre de
cuenta de la siguiente manera.

 Ya estando en la consola IAM al lado de el link mencionado anteriormente encontramos a

opción customize.

 Ingresamos en esta opción y allí nos envía una ventana emergente en donde escribimos
el nombre que le que queremos asignar a esta cuenta, es importante mencionar que este
nombre debe ser nuevo y no existente en los nombres de cuenta de AWS.

 Creamos el nombre de cuenta y nuevamente abrimos el link y notamos que el nombre de

la cuenta a cambiado, con esto los futuros usuarios a la consola deberán entrar a esta
cuenta con el nombre anteriormente asignado.
2. Crear la política de contraseñas.

Luego de personalizar la cuenta, estando en la consola de IAM nos dirigimos a la opción

Acconunt senttings desde allí podemos configurar las políticas de contraseñas, podemos
determinar el mínimo de la longitud de las contraseñas, si deben estas contener una letra
mayúscula, cada cuento deben renovar la contraseña entre otras opciones como se ve en la
siguiente imagen.

Ejercicio 6.3

Creación de un usuario de IAM

En este punto crearemos un usuario el cual podrá utilizar la consola de AWS dependiendo
los permisos otorgados anteriormente.

1. Crear un usuario llamado “IAM Administrador”

 Estando en la consola de IAM entramos a la opción user y seleccionamos la opción Add

user.

 Allí le asignamos el nombre al usuario que en este caso será IAMAdministrator, y en tipo
de acceso seleccionamos Programatic access.

2. Añadimos el usuario a un grupo IAM

 Luego de asignar el nombre y el tipo de acceso le damos siguiente y allí nos da la opción
de unir el usuario a un grupo IAM, en este caso lo vamos a añadir al grupo
Administradores Creado en el Ejercicio 6.1.
3. Asignación de contraseña al usuario

 Estando ya el usuario creado, entramos en las opciones del mismo y nos dirigimos a la
opción de credenciales de seguridad.

 En la opción Console Password, le damos en administrar. Allí nos aparece una ventana
emergente, allí habilitamos la opción Conosole access y se despliega un menú en donde
podemos asignar una contraseña al usuario.
Aceptamos los cambios.

4. Entramos a la cuenta de AIMAdministrator.

 Cerramos nuestra cuenta de root y luego ingresamos con la cuenta personalizada creada
en el ejercicio 6.2, escribimos el usuario y la contraseña asignada.

 Iniciamos sesión y notamos que ya se tiene acceso a la consola por este usuario.
Ejercicio 6.4

Crear y usar un rol IAM

Un rol IAM es similar a un usuario, también cuenta con políticas de uso de la consola de
AWS. En este ejercicio crearemos un rol el cual será asociado a una instancia EC2.

1. Creamos el rol

 Entramos a la consola de IAM y nos dirigimos a la opción Role, allí creamos un rol de
tipo EC2 llamado S3Client.

2. Adjuntamos una política de administración

 En este punto adjuntamos una política de administrador a nuestro rol, en este caso
utilizamos la política AmazonS3ReadOnlyAccess la cual nos permite dar solo lectura
a un bucket.

3. Lanzamiento de una instancia EC2

 Lanzamos una instancia a la cual le vamos a adjuntar el rol anteriormente creado, en

la opción Rol de IAM
4. Conectar la instancia por SSH

 Entramos a la instancia por CLI y observamos los contenidos de S3

Ejercicio 6.5

Rotar las llaves de acceso.

Este ejercicio es recomendado hacerlo como practica de seguridad.

1. Entramos al usuario IAM, creamos y descargamos el par de llaves de seguridad.

 Entramos al usuario desde la consola de IAM y en la opción security credentials y allí

creamos las llaves de acceso y las descargamos.
2. Uso de las claves de acceso

 Descargamos la interfaz de línea de comando CLI de AWS

 Desde le CLI accedemos con las claves, utilizando el comando aws configure.
Seleccionamos la región de donde se encuentra trabajando la consola y en el formato
de salida seleccionamos el lenguaje json.

 Desde el CLI recuperamos la lista de contenido del Bucket S3 del ejercicio anterior.
 Volvemos a la consola de IAM y creamos unas claves de acceso diferentes y las
descargamos.

 Desde la consola desactivamos la llave de acceso.

 Confirmamos que la nueva llave es utilizada para entrar al CLI y ver el contenido del
bucket
  Finalmente eliminamos las llaves de acceso desde la consola IAM.

Ejercicio 6.6

La función MFA (autenticación multifactor) ayuda a la seguridad del ingreso a la consola de

AWS por los usuarios IAM ya que esta le pide al usuario IAM que escriba un código de
autenticación único generado en un mensaje SMS (servicio de mensajes cortos) para
acceder a los servicios de la consola.

En este ejercicio realizaremos una autenticación FMA mediante una App desde el teléfono
del usuario IAM.

1. Descarar la App MFA

 Ingresamos a la tienda de App del teléfono y buscamos la aplicación de a

2. Configuración del MFA desde la consola

 Entramos a la consola de IAM y seleccionamos el usuario al cual le queremos adjuntar la

autenticación.
 Entramos a la configuración del usuario y seleccionamos la opción Security credentials y
hacemos clic en Manage que esta al lado de la opción Assigned MFA device

 Para que la autenticación sea posible es necesario activar el MFA de la cuenta raíz,
seleccionamos la opción Manage MFA
 Luego allí seleccionamos la opción de empezar con la autenticación MFA y activamos
esta opción.

 Luego estando allí, seleccionamos la opción Virtual MFA device, la cual permite realizar la
autenticación mediante la App del teléfono.

 Luego generamos un código QR y una clave secreta, después ingresamos a la cuenta

con la clave secreta y este nos genera dos números de autenticación
 Escribimos los dos códigos de autenticación y guardamos los cambios.
3. Verificamos la autenticación MFA

 Cerramos la sesión y nuevamente procedemos a registrarnos.

 Luego iniciamos sesión y notamos que pide la autenticación MFA