AWS Guia Estudio

 En AWS es común encontrarse con conceptos similares que tienen funciones muy distintas. En este artículo rápido y claro, te explico las diferencias entre:

  • Políticas de confianza (Trust Policies)

  • Políticas de permisos (Permissions Policies)

  • Service Control Policies (SCPs)

  • Tipos de VPC Endpoints: Interface y Gateway








🔐 ¿Qué es una Trust Policy en AWS IAM?

Una Trust Policy es una política asociada a un rol de IAM que define quién puede asumir ese rol. No otorga permisos, solo define la relación de confianza.

Ejemplo clásico:

Permitir que EC2 asuma un rol:


{

  "Effect": "Allow",

  "Principal": {

    "Service": "ec2.amazonaws.com"

  },

  "Action": "sts:AssumeRole"

}


✅ ¿Qué es una Permissions Policy?

Una Permissions Policy es la que se asocia a usuarios, grupos o roles y define qué acciones pueden realizar en AWS.

Ejemplo:

Permitir lectura en un bucket S3:

{

  "Effect": "Allow",

  "Action": "s3:GetObject",

  "Resource": "arn:aws:s3:::mi-bucket/*"

}

🛡️ ¿Qué son las Service Control Policies (SCPs)?

Las SCPs son políticas a nivel organizacional (AWS Organizations) que definen los límites máximos de lo que una cuenta puede hacer, sin importar los permisos individuales.

Si una SCP dice NO, ningún usuario o rol podrá hacer esa acción, incluso si tiene una permissions policy que lo permite.

Ejemplo:

Permitir solo uso de S3 y CloudWatch:


{

  "Effect": "Allow",

  "Action": ["s3:*", "cloudwatch:*"],

  "Resource": "*"

}


🌐 Tipos de VPC Endpoints en AWS

En una VPC puedes crear endpoints para comunicarte con servicios de AWS sin pasar por Internet. Hay dos tipos:

1. Interface Endpoints

  • Se crean como una ENI (Elastic Network Interface) en una subred.

  • Se usan para servicios como SQS, KMS, Secrets Manager, etc.

  • Se pueden controlar con Security Groups.

  • Tienen costo por hora y por tráfico.

2. Gateway Endpoints

  • Solo disponibles para Amazon S3 y DynamoDB.

  • Se agregan a la route table de la VPC.

  • No usan ENI ni generan costos adicionales.

👉 ¿Por qué S3 no usa Interface Endpoint?

S3 maneja tráfico masivo, y usar Interface Endpoints sería ineficiente y costoso. Gateway Endpoints son más livianos, gratuitos y fáciles de escalar para estos casos.





Comentarios

Publicar un comentario

Entradas populares de este blog

Introducción al Enterprise Canvas (Canvas Empresarial)

Imagen
Enterprise Canvas: Un Enfoque Integral para Modelar Servicios en la Empresa En el mundo de la arquitectura empresarial, una de las mayores dificultades es encontrar una forma consistente de conectar y describir todos los elementos de una organización, desde estrategias de alto nivel hasta operaciones diarias. El Enterprise Canvas surge como una herramienta poderosa que simplifica esta tarea, proporcionando un marco visual y funcional para modelar servicios en cualquier nivel o contexto de una organización. En este artículo, exploraremos qué es el Enterprise Canvas, cómo funciona y por qué se ha convertido en un modelo indispensable para arquitectos empresariales y diseñadores de servicios. ¿Qué es el Enterprise Canvas? El Enterprise Canvas es una herramienta que permite describir cualquier elemento de una organización como un servicio. Es suficientemente simple como para representarlo en un diagrama informal, pero también puede incorporar detalles técnicos que faciliten su int...
Leer más

Arquitectura Mínima Viable (MVA)

Imagen
  Arquitectura Mínima Viable: La Clave para un Desarrollo Ágil y Sostenible En un mundo donde la rapidez para lanzar productos al mercado es crucial, las organizaciones se enfrentan al desafío de equilibrar la agilidad con la sostenibilidad técnica. La Arquitectura Mínima Viable (MVA) se presenta como un enfoque que combina la velocidad del desarrollo ágil con una base técnica sólida. Este artículo explora el concepto, sus principios fundamentales, beneficios, desafíos y cómo implementarlo eficazmente en proyectos de desarrollo. ¿Qué es la Arquitectura Mínima Viable (MVA)? La Arquitectura Mínima Viable se refiere al conjunto mínimo de decisiones arquitectónicas necesarias para garantizar que un Producto Mínimo Viable (MVP) sea: Funcional : Capaz de satisfacer los requisitos básicos del usuario. Escalable : Preparado para manejar un aumento progresivo en la carga o complejidad. Mantenible : Fácil de modificar y mejorar a lo largo del tiempo. El objetivo de la MVA no es construir un...
Leer más

Maximizando el Rendimiento en AWS: Guía Completa de Grupos de Colocación

 En el mundo de AWS, optimizar la comunicación entre instancias es crucial para garantizar el mejor rendimiento de tus aplicaciones. A lo largo de mis años trabajando con infraestructuras en la nube, he comprobado que los grupos de colocación son una herramienta poderosa para reducir la latencia y aumentar la eficiencia en entornos de alto rendimiento. En este artículo, compartiré mi experiencia y conocimientos sobre esta funcionalidad, explicando en detalle sus tipos, ventajas y consideraciones clave. ¿Qué son los Grupos de Colocación en AWS? Los grupos de colocación te permiten controlar la ubicación física de tus instancias dentro de un centro de datos o zona de disponibilidad de AWS. Al agrupar las instancias en ubicaciones estratégicas, se consigue una comunicación más rápida y eficiente, lo que se traduce en menores tiempos de respuesta y un mejor desempeño en aplicaciones críticas. Tipos de Grupos de Colocación y Cuándo Usarlos AWS ofrece tres tipos principales de grupos de...
Leer más