IAM, identidades y permisos

IAM es el corazón de la seguridad en AWS. Para Cloud Practitioner debes saber identificar usuarios, grupos, roles, políticas, MFA y el principio de mínimo privilegio.

Cómo estudiar IAM e identidades

Trabaja esta página con un objetivo concreto: dominar autenticación, autorización y mínimo privilegio. Primero entiende el concepto con tus palabras, después mira los servicios asociados y finalmente practica con un escenario. Evita estudiar como una lista; en CLF-C02 casi siempre te pedirán reconocer la intención de negocio o la responsabilidad correcta.

Enfoque de examen: prioriza la opción más directa, gestionada y alineada con el enunciado. En esta página la pista principal es: dominar autenticación, autorización y mínimo privilegio.

Conceptos que debes tener claros

Usuario IAM

Identidad individual para una persona o aplicación, aunque para personas se recomienda federación cuando sea posible.

Grupo IAM

Conjunto de usuarios al que aplicar políticas comunes.

Rol IAM

Identidad asumible con credenciales temporales, ideal para servicios y acceso entre cuentas.

Política IAM

Documento JSON que permite o deniega acciones sobre recursos.

Servicios y cuándo usarlos

Servicio / concepto	Para qué sirve	Cómo reconocerlo en preguntas
MFA	Segundo factor para proteger acceso	Consola, root user, cuentas sensibles.
Root user	Cuenta inicial con control total	Debe protegerse y no usarse a diario.
Roles	Permisos temporales	EC2 accede a S3 sin claves estáticas.
IAM Identity Center	Acceso centralizado y federación	Usuarios corporativos y múltiples cuentas.
Access Analyzer	Analiza accesos externos	Políticas que exponen recursos.
Secrets Manager	Gestiona secretos y rotación	Credenciales de BD, API keys.

Escenario explicado

Una aplicación en EC2 necesita leer objetos de S3. La opción más segura no es guardar claves de acceso en el código, sino asignar un rol IAM a la instancia con los permisos mínimos necesarios.

Errores típicos que restan puntos

Usar usuario IAM para aplicaciones cuando un rol encaja mejor.
Dar AdministratorAccess por comodidad.
No activar MFA en root.
Confundir autenticación con autorización.

Checklist de dominio

Puedo explicar este tema en lenguaje sencillo.
Reconozco el servicio adecuado para un caso de uso básico.
Sé descartar al menos dos alternativas incorrectas.
Entiendo si el servicio es gestionado, serverless, global, regional o zonal cuando aplica.

IAM de verdad para aprobar

Esta ampliación está pensada para estudiar como lo haría un alumno antes del examen: entender primero el caso de uso, relacionarlo con el servicio correcto y practicar con ejemplos cortos. No hace falta aprender cada detalle técnico; para Cloud Practitioner necesitas reconocer conceptos, responsabilidades y decisiones básicas.

Usuario: identidad individual. Grupo: agrupación de usuarios. Rol: permisos asumibles temporalmente.
Política: documento JSON que permite o deniega acciones sobre recursos.
MFA y mínimo privilegio son respuestas muy frecuentes cuando preguntan por seguridad básica.

Preguntas probables sobre IAM e identidades

Señal principal

El enunciado suele darte una pista directa: dominar autenticación, autorización y mínimo privilegio. Subraya esa parte antes de mirar las respuestas.

Distractor habitual

Una opción será técnicamente posible pero más compleja, menos gestionada o pensada para otro caso de uso.

Qué comparar

Compara alcance, responsabilidad, coste operativo y nivel de gestión del servicio.

Respuesta madura

La mejor respuesta suele resolver el problema con el servicio más específico y sin añadir piezas innecesarias.

Repaso guiado para fijarlo

Lo que debes saber explicar	Cómo decirlo en sencillo	Error típico
Concepto principal	Explica el servicio o idea en una frase, sin jerga y con un ejemplo práctico.	Aprender una definición de memoria sin saber aplicarla a un escenario.
Caso de uso	Relaciona el tema con una necesidad: guardar objetos, ejecutar código, proteger accesos, monitorizar, ahorrar costes o escalar.	Elegir un servicio parecido solo porque te suena más.
Responsabilidad	Separa qué gestiona AWS y qué debe configurar el cliente.	Creer que al ser cloud AWS se encarga de todo.
Palabras clave	Detecta términos como Multi-AZ, serverless, object storage, audit logs, budget alert, DNS, CDN, encryption o least privilege.	No leer el objetivo de la pregunta y contestar por intuición.

Práctica recomendada: crea una mini chuleta de esta sección con tres columnas: concepto, servicio relacionado y ejemplo de pregunta. Si puedes completar esa tabla sin mirar, vas bien encaminado.

Profundización práctica · Iam e identidades

Este bloque se ha revisado para que no sea una repetición del resto de la ruta. La clave aquí es dominar autenticación, autorización y mínimo privilegio. Estúdialo buscando señales: qué necesidad plantea el escenario, qué servicio encaja y qué alternativa sería demasiado compleja o incorrecta.

Mapa mental de la lección

usuarios: relaciónalo con un caso real de empresa y con una palabra clave de examen.
grupos: relaciónalo con un caso real de empresa y con una palabra clave de examen.
roles: relaciónalo con un caso real de empresa y con una palabra clave de examen.
políticas: relaciónalo con un caso real de empresa y con una palabra clave de examen.
MFA: relaciónalo con un caso real de empresa y con una palabra clave de examen.
federación: relaciónalo con un caso real de empresa y con una palabra clave de examen.

Práctica aplicada

Crea un caso mental: app en EC2 necesita leer S3. La respuesta correcta no es guardar claves, sino usar un rol IAM.

Al terminar, intenta explicarlo en voz alta como si tuvieras que defender la respuesta delante de un compañero.

Errores a evitar

usar access keys cuando encaja un rol
dar AdministratorAccess por comodidad
confundir usuario IAM con usuario federado

Lectura de escenarios

Busca verbos y restricciones: “reducir administración”, “auditar”, “bajo coste”, “sin servidores”, “alta disponibilidad”, “datos sensibles”, “acceso global” o “soporte crítico”. Esas pistas suelen llevarte al servicio correcto.

Servicios y conceptos que debes relacionar

IAMIAM Identity CenterSTSOrganizationsCognito

Tabla de decisión rápida

Situación	Respuesta que debes considerar	Por qué importa
Usuario IAM	Identidad individual de largo plazo	Evitar para personas si hay Identity Center
Rol IAM	Permisos asumibles temporalmente	Ideal para servicios y federación
Política	Documento JSON de permisos	Define acciones, recursos y condiciones

Entrenamiento de examen: transforma esta página en 3 preguntas: una conceptual, una de servicio y una de descarte. La buena preparación no es acertar por memoria, sino justificar por qué las otras opciones no encajan.

Señal de dominio: antes de avanzar, deberías poder resumir este tema en 90 segundos, citar dos servicios relacionados y reconocer un distractor frecuente.

IAM explicado como lo pregunta el examen

Para CLF-C02, IAM es más de lógica que de sintaxis JSON. Debes distinguir usuarios, grupos, roles y políticas. Un usuario representa una identidad humana o aplicación concreta; un grupo agrupa permisos para usuarios; un rol se asume temporalmente; una política define permisos.

Elemento	Uso habitual	Pregunta típica
Usuario IAM	Identidad individual dentro de la cuenta.	Acceso de una persona concreta a la consola o API.
Grupo IAM	Gestionar permisos comunes de varios usuarios.	Dar el mismo acceso a un equipo.
Rol IAM	Permisos temporales asumidos por servicios, usuarios o cuentas.	Permitir a EC2 acceder a S3 sin claves estáticas.
Política IAM	Documento de permisos allow/deny.	Definir qué acciones se permiten sobre qué recursos.

Ruta orientada a la guía oficial AWS Certified Cloud Practitioner CLF-C02. Los servicios y pesos pueden cambiar; antes del examen conviene contrastar con la guía oficial más reciente.