Éste servicio gratuito global nos da la posibilidad de manejar de manera segura distintos roles dentro de nuestra organización (tanto como para usuarios como para servicios), hay que tener en cuenta dos cosas importantes:

Cuenta root: Cuando creamos nuestra cuenta propia de AWS, ésta cuenta va a ser la cuenta “root”, o cuenta raíz, principal, como la quieras llamar. Hay que tener cuidado con ésta cuenta porque tiene TODOS los permisos, lo que en sistemas conocemos como súper usuario, por lo cual, si nos roban acceso a ésta cuenta, prácticamente el atacante tiene la libertad de hacer lo que sea, por lo tanto, no es aconsejable trabajar desde ella, para evitar complicaciones a futuro o meter dedazo, lo que se hace es crear una cuenta IAM con permisos de administrador.

Cuando queramos iniciar sesión a la consola de Amazon, vamos a ver que nos da la opción para ingresar como “Usuario raíz” y “Usuario de IAM”

Acceso a la consola de AWS como “Usuario raíz” o “Usuario de IAM”

Usuario de IAM: se lo define como una “identidad”, con esto nos referimos que puede representar a un usuario humano con ciertos roles o “carga de trabajo” (éste termino que está en la documentación no me convence o es ambiguo a veces, así que lo vamos a traducir como una entidad con roles específicos, hay algunos servicios que tienen políticas de roles para que se puedan utilizar)

Grupos

Ya que hablamos de usuarios y que pueden tener distintos roles, de acá nace el término “grupos de usuarios”, el cual podemos crear para poder definir los permisos de distintos roles de usuarios, principalmente para no repetir y no tener que asignarle los permisos uno por uno a cada usuario.

Por ejemplo, si tengo varios administradores, voy a crear un grupo llamado “Administradores” y en él agregar los distintos usuarios con el perfil de administrador, después puedo tener otro grupo llamado “Desarrolladores” donde voy a asignar todos los usuarios con el rol de desarrollador.

Importante a tener en cuenta:

Los grupos sólo contienen usuarios, no a otros grupos (por ende, no existen los subgrupos)
Los usuarios tampoco están obligados a pertenecer a un grupo
El usuario puede pertenecer a varios grupos. En éste caso, podemos crear otro grupo que tenga los mismos permisos que el grupo de administradores y desarrolladores, y ponerle de nombre “Auditoría”.

A éstos grupos se les puede asignar permisos o políticas

Permisos

A los usuarios o grupos se les pueden asignar documentos JSON llamados políticas

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetObject",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-example-bucket",
                "arn:aws:s3:::my-example-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*"
        }
    ]
}