Entendiendo los Identificadores ARN y AIDA en AWS IAM

cyb3rcloud8888

Willie

Posted on November 21, 2024

Entendiendo los Identificadores ARN y AIDA en AWS IAM

AWS Identity and Access Management (IAM) es la columna vertebral de la seguridad en AWS, y dos de sus identificadores más importantes son ARN (Amazon Resource Name) y AIDA (IAM User/Role ID). En este artículo, exploraremos qué son, para qué sirven y un dato importante sobre qué sucede si eliminas y vuelves a crear usuarios.

Amazon Resource Name (ARN)

¿Qué es un ARN?
Un ARN (Amazon Resource Name) es un identificador único que AWS utiliza para identificar cualquier recurso en su plataforma. Es esencial para las políticas de acceso y la auditoría, ya que permite especificar con precisión los recursos involucrados en una operación.

arn:partition:service:region:account-id:resource

Componentes principales:

  • partition: Especifica la partición de AWS, como aws, aws-cn (China) o aws-us-gov (GovCloud).
  • service: El servicio al que pertenece el recurso, como s3, ec2 o iam.
  • region: Región donde reside el recurso (puede estar vacío para recursos globales).
  • account-id: ID de la cuenta que posee el recurso.
  • resource: Identificador del recurso y su tipo.

Ejemplos:

arn:aws:iam::123456789012:user/mi-usuario

¿Qué pasa si eliminas y vuelves a crear un recurso con el mismo nombre?
El ARN se mantiene igual si recreas un usuario o recurso con el mismo nombre. Esto es útil para políticas preconfiguradas que apuntan a ese ARN. Sin embargo, no implica que el recurso sea el mismo; aquí entra el identificador AIDA.

Identificador AIDA

¿Qué es AIDA?
AIDA es el identificador único asignado a usuarios o roles en IAM. AWS lo utiliza internamente para rastrear acciones y permisos asociados a estas entidades.

"AWSAccessKeyId": "AIDAEXAMPLE123456"

Dato importante sobre AIDA y usuarios eliminados:
Si eliminas un usuario IAM y lo vuelves a crear con el mismo nombre, el ARN permanecerá igual porque se basa en el nombre. Sin embargo, el identificador AIDA será completamente nuevo, ya que este es único y no reutilizable.

Esto significa que cualquier referencia al AIDA anterior en auditorías o registros ya no será válida para el nuevo usuario.

Diferencias clave entre ARN y AIDA:
ARN

  • Identifica un recurso.
  • Es legible para humanos.
  • Se usa en políticas y configuraciones.
  • Se mantiene igual al recrear un recurso.

AIDA

  • 1. Identifica un usuario o rol IAM.
  • 2. No es fácilmente reconocible.
  • 3. Se usa para auditorías e informes internos.
  • 4. Cambia si el recurso es eliminado y recreado.

Mejores Prácticas para Usar ARN y AIDA

  1. Usa ARNs en políticas con precisión: Limita accesos a recursos específicos para mejorar la seguridad.
  2. Monitorea los registros de CloudTrail: Rastrea acciones utilizando AIDA para identificar usuarios específicos.
  3. Ten cuidado al eliminar usuarios IAM: Si necesitas conservar referencias en auditorías, guarda el historial asociado al AIDA antes de eliminar.

Espero te sirva este post dejame tus comentarios si deseas agregar algo.

Fuente:https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids

💖 💪 🙅 🚩
cyb3rcloud8888
Willie

Posted on November 21, 2024

Join Our Newsletter. No Spam, Only the good stuff.

Sign up to receive the latest update from our blog.

Related