Introduction

Identity and Access Management → Global Service.

Hay una cuenta raíz por defecto, no debería ser usada o compartida.

Jerarquía existente:

• Los grupos contienen usuarios NUNCA otros grupos.
• Los usuarios pueden no pertenecer a un grupo pero no se recomienda. E incluso, generalmente, un usuario puede pertenecer a varios grupos al tiempo.

IAM Permissions:

Las policies pueden ser aplicadas/asignadas a Usuarios y los Grupos.

Estas policies definen los permisos de los usuarios.

Queremos que los principios sigan el principio de least privilege: Solamente tener acceso a lo que necesita.

First Hands-On Notes:

El servicio es Global → No se puede elegir una región en específico.

Un usuario requiere un nombre de usuario.

Se puede usar tipo de usuario a través de:

1. Identity Center: Por lo que entiendo, básicamente proveer acceso de consola a una sola persona. De esta manera, manejar de forma central el acceso de usuarios a AWS accounts y sus aplicaciones de nube.
2. IAM User: Menos recomendado. Más que nada si se quiere habilitar acceso de manera programático o con credenciales para servicios específicos. Incluso como credenciales backups.

Se puede autogenerar la password y pedir que se cree una nueva cuando el usuario haga sign-in por primera vez.

Con respecto a los permisos:

1. Se puede añadir un usuario a un nuevo grupo o crear un nuevo grupo.