AWS IAM
AWS IAM (Identity and Access Management) controla quién está autorizado a hacer qué en una cuenta de AWS. Las identidades y las autorizaciones detalladas se utilizan para controlar el acceso a cada servicio individual.
¿Qué es AWS IAM?
AWS IAM (Identity and Access Management) es el sistema de autorizaciones de AWS. Cada vez que se realiza una acción en una cuenta de AWS, responde a la pregunta: ¿tiene esta identidad permiso para realizar esta acción concreta sobre este recurso concreto? Por lo tanto, IAM es la base de la seguridad de cualquier entorno de AWS: todos los demás servicios se apoyan en él.
IAM es gratuito y, sin embargo, uno de los servicios más importantes que existen. Un concepto de IAM bien diseñado evita que los empleados, las aplicaciones o un acceso comprometido tengan más derechos de los necesarios.
Los componentes de IAM
- Usuarios (Users): identidades para personas individuales con sus propios datos de acceso.
- Grupos (Groups): agrupan a usuarios con tareas similares para asignar permisos de manera uniforme.
- Roles: identidades que se adoptan de forma temporal, ya sea por parte de aplicaciones, servicios de AWS o usuarios.
- Políticas (Policies): conjuntos de reglas en formato JSON que describen con precisión qué acciones están permitidas o prohibidas.
El principio del privilegio mínimo
El principio más importante de IAM es el principio del privilegio mínimo (Least Privilege): cada identidad recibe exclusivamente los permisos que realmente necesita para su tarea, nada más. De este modo, el daño queda limitado en caso de que se haga un uso indebido de un acceso. Los derechos de administrador generales «por si acaso» son uno de los mayores riesgos de seguridad evitables en la nube.
Roles en lugar de claves de larga duración
Las aplicaciones y los servicios de AWS nunca deben funcionar con claves de acceso fijas y de larga duración. En su lugar, adoptan un rol de IAM y, de este modo, obtienen datos de acceso temporales que caducan automáticamente. Una instancia de EC2 con un rol asignado puede, por ejemplo, acceder a un bucket de S3 sin que sea necesario almacenar una clave en ningún sitio: una clave que no existe tampoco puede ser robada.
IAM en las pymes
Un concepto de IAM bien definido debe estar presente desde el inicio de cualquier uso de AWS. Esto incluye la protección de la cuenta principal con autenticación multifactorial, roles claramente delimitados para equipos y aplicaciones, así como la renuncia sistemática a las claves de larga duración. Si se establecen estos fundamentos desde el principio, el entorno crecerá de forma segura; por el contrario, poner orden posteriormente en un caos de permisos ya consolidado resulta mucho más laborioso.
Preguntas frecuentes sobre AWS IAM
AWS IAM es gratuito. No hay cuotas para usuarios, grupos, roles o políticas. Solo se incurre en gastos por los servicios de AWS a los que se accede a través de IAM.
Un usuario de IAM es una identidad permanente con sus propios datos de acceso, normalmente para una persona. Un rol de IAM no tiene credenciales permanentes y es aceptado temporalmente por aplicaciones, servicios de AWS o usuarios. Los roles son más seguros porque las credenciales emitidas caducan automáticamente.
Significa que cada identidad sólo recibe exactamente las autorizaciones que necesita para su tarea, no más. Esto limita el daño potencial si se hace un uso indebido del acceso. Las autorizaciones generales de administrador son un riesgo de seguridad evitable.
Active la autenticación multifactor para la cuenta principal y todos los usuarios, evite el uso diario de la cuenta raíz, asigne autorizaciones según el principio del menor privilegio y sustituya las claves de acceso de larga duración por roles IAM con datos de acceso temporales.
Términos relacionados
Servicios relacionados
Última actualización: mayo 2026