Comencemos con un breve resumen de cómo AWS controla el acceso a sus servicios.
Cuando se crea una cuenta de AWS, se empieza con un único usuario raíz que tiene poder ilimitado dentro de su cuenta. Y eres responsable de todo lo que se haga bajo los auspicios del usuario raíz. En otras palabras, desde el principio, eres abrumadoramente responsable de la seguridad de tus recursos de AWS.
Es importante señalar que usted es responsable de proteger las credenciales del usuario raíz, que AWS recomienda no utilizar a menos que sea absolutamente necesario. En su lugar, debe utilizar el servicio de Gestión de Identidad y Acceso (IAM) para crear identidades IAM, o principales con permisos más limitados, y utilizarlas para interactuar con AWS.
Usted controla los permisos de acceso de los directores de IAM en su cuenta. Una forma de hacerlo es a través de políticas basadas en la identidad que definen granularmente qué acciones toma un director contra un recurso de AWS. AWS ofrece políticas gestionadas para una variedad de escenarios comunes, y las actualizan rutinariamente para cubrir nuevos servicios y características. También puede elaborar sus propias políticas personalizadas. De cualquier manera, al final del día, eres responsable de definir los permisos de tus directores de IAM.
Esta responsabilidad va más allá de las políticas basadas en la identidad. Algunos servicios de nube de AWS utilizan políticas basadas en recursos para controlar el acceso a los recursos. Las políticas de cubo del Servicio de Almacenamiento Simple (S3) son un ejemplo notable de una política basada en recursos, y se utilizan comúnmente para conceder acceso público y de sólo lectura a los archivos almacenados en S3. Como es de esperar, usted es totalmente responsable de configurar sus políticas basadas en recursos.