Usar la cuenta root es como pedir al CEO que barra el suelo: posible, pero ni seguro ni eficiente. En esta guía práctica vamos a contratar a tu primer empleado digital: crear un usuario IAM, asignarle permisos y enseñar a un servidor a actuar sin contraseñas compartidas. Incluiré ejercicios paso a paso, explicaciones reales y recordatorios para que el procedimiento quede claro.

Imagina a Joy, la CEO de una empresa en crecimiento. Joy sabe que no debe compartir las llaves maestras de la cuenta root. En su lugar contrata a Samuel y le crea una identidad adecuada como empleado. Esa identidad puede incluir acceso a la consola web con contraseña y, si es necesario, credenciales programáticas para CLI o SDK.

Por qué no usar la cuenta root Nunca uses root para el trabajo diario. Root tiene acceso total y si se compromete, todo queda comprometido. Reserva root para tareas a nivel de cuenta como facturación o cierre. Usar usuarios IAM permite aplicar el principio de menor privilegio: dar solo lo necesario.

Laboratorio práctico Crear tu identidad digital Antes de empezar inicia sesión con root o con un usuario IAM que tenga permiso para crear usuarios. En la consola AWS abre el servicio IAM y entra en Users. Haz clic en Create user e introduce un nombre de usuario claro por ejemplo Alice o Alice.Smith para responsabilidad clara. Selecciona tipos de credenciales: consola de gestión para acceso web y, solo si es necesario, programmatic access para crear access keys para scripts. Explicación: consola es para humanos que usan un navegador; acceso programático es para herramientas automatizadas.

Permisos y grupos A la hora de asignar permisos añade el usuario a un grupo. Crea un grupo nuevo llamado Admin y, solo para fines del laboratorio, adjunta la política AdministratorAccess para probar flujos de trabajo. En producción crea grupos más restrictivos por rol como Dev, Ops o Billing con solo los permisos necesarios. Importante no convertir a todos en administradores.

Descarga el archivo CSV al crear el usuario. Contiene la URL de acceso IAM, el nombre de usuario, la contraseña temporal y las claves de acceso si activaste acceso programático. Guarda ese archivo en un lugar seguro. Nota de seguridad: AWS muestra esas credenciales solo una vez. Si se pierde el CSV elimina las claves y crea nuevas o restablece la contraseña de consola.

Cierra la sesión de root y vuelve a entrar como Samuel usando el enlace de inicio de sesión de IAM que aparece en el dashboard de IAM. Introduce la contraseña temporal y, si activaste la opción obligatoria, fuerza el cambio de contraseña en el primer inicio. Así el usuario establece su propia contraseña y root permanece protegido.

Qué son las políticas IAM Piensa en una política IAM como un reglamento que define lo que un empleado puede o no puede hacer. Las políticas son documentos que especifican permitir o denegar acciones sobre recursos concretos. Por ejemplo una política de solo lectura sobre S3 permite acciones como listar buckets y obtener objetos y debería limitarse en producción a los ARNs de los buckets necesarios.

Laboratorio práctico Crear un grupo de solo lectura S3 En IAM crea un grupo llamado S3-ReadOnly y adjunta la política AmazonS3ReadOnlyAccess que es una política administrada por AWS para acceso seguro de solo lectura. Añade a Samuel al grupo. Recuerda que los permisos son aditivos: si un usuario pertenece a varios grupos sus permisos efectivos son la unión de esos permisos salvo que exista una Deny explícita que lo anule.

Roles para servicios Samuel necesita que un servidor EC2 lea archivos en S3. En lugar de dar claves largas al servidor, crea un role que la instancia pueda asumir. En IAM ve a Roles y Create role, elige el servicio AWS EC2 para que la política de confianza permita que instancias EC2 asuman el rol. Adjunta AmazonS3ReadOnlyAccess y nombra el rol MyEC2S3ReadRole. Al lanzar la instancia en EC2, en Advanced details selecciona IAM instance profile MyEC2S3ReadRole. Si la instancia ya está en ejecución usa Instance Actions Security Modify IAM role para aplicarlo en caliente.

Conecta mediante EC2 Instance Connect o SSH y ejecuta aws s3 ls en la terminal. La instancia listará los buckets permitidos usando las credenciales temporales del role sin necesidad de claves de larga duración. Asegúrate de que la CLI de AWS esté instalada o utiliza las herramientas de la plataforma que expongan las credenciales del instance profile.

Buenas prácticas y checklist de seguridad Nunca uses la cuenta root para tareas diarias y habilita MFA en root. Obliga a restablecer la contraseña en el primer inicio cuando generes contraseñas temporales. Activa MFA en todos los usuarios con privilegios. Aplica el principio de menor privilegio, evita AdministratorAccess salvo que sea imprescindible. Usa grupos y roles en lugar de políticas adjuntas directamente a usuarios. Rota y revoca credenciales si un CSV se pierde o una clave se expone. Comparte CSVs por canales seguros y nunca pegues credenciales en chats. Habilita CloudTrail para auditar acciones. Prefiere roles para servicios y EC2 en lugar de keys programáticas. Etiqueta recursos y usuarios para facturación y auditoría.

Preguntas frecuentes Q: Puedo descargar de nuevo el CSV si lo pierdo No. AWS muestra las claves y la contraseña generada solo una vez. Si lo pierdes elimina la clave y crea una nueva o restablece la contraseña. Q: Cómo cambio el equipo de Alice Si Alice cambia de equipo quita el usuario del grupo antiguo y añádelo al grupo nuevo los cambios son inmediatos. Q: Se suman o se sobreescriben las políticas Las políticas permiten de forma aditiva todas las Allow pero cualquier Deny explícito anula los Allow. Q: Debo dar claves a instancias EC2 No. Usa roles y perfiles de instancia porque proporcionan credenciales temporales y son más seguros.

Sobre Q2BSTUDIO Q2BSTUDIO es una empresa de desarrollo de software especializada en aplicaciones a medida y software a medida con experiencia en inteligencia artificial, ciberseguridad y servicios cloud. Ofrecemos soluciones completas que van desde la creación de aplicaciones personalizadas hasta la implementación de infraestructuras seguras en la nube. Si necesitas desarrollar una app personalizada visita nuestra página de desarrollo de aplicaciones y software a medida y si buscas migrar o gestionar plataformas cloud consulta nuestros servicios cloud AWS y Azure.

Servicios relacionados En Q2BSTUDIO combinamos experiencia en inteligencia artificial e ia para empresas con prácticas de ciberseguridad para ofrecer productos seguros y escalables. Nuestros servicios incluyen agentes IA, servicios inteligencia de negocio y power bi para facilitar la toma de decisiones, así como soluciones de automatización de procesos y pentesting profesional. Palabras clave importantes que trabajamos para mejorar tu proyecto incluyen aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi.

Resumen rápido Joy hizo lo correcto: mantuvo root seguro, creó a Samuel con credenciales de consola, descargó el CSV y lo entregó por un canal seguro, y obligó a que el usuario estableciera su propia contraseña. Posteriormente Joy organizó permisos mediante grupos y roles para que el entorno sea auditable, mantenible y seguro. Si quieres que te acompañemos en la implementación segura de identidades, permisos y roles en AWS contacta con Q2BSTUDIO para una solución a medida adaptada a tus necesidades.