Credenciales AWS

Credenciales AWS


Para poder darle permisos a su cuenta de AWS en Cloudglass, necesitamos hacerlo a través de políticas (policies) y de un usuario. Crearemos una política personalizada para cada uno de los "servicios" que queramos utilizar dentro del Cloudglass (descubrimiento de instancias o "Service Discovery", encender o parar instancias o "Start/Stop", y/o soporte de AWS o "AWS Support"). A cada política le asignaremos una serie de permisos y, una vez creadas, solo tendremos que añadirlas a nuestro usuario y guardar las claves generadas.

Creación de políticas (policies)

  1. En la Consola de AWS, en la barra de búsqueda busque IAM, que es el servicio que maneja usuarios y permisos en AWS.

    AWS-Credenciales

  2. En el menú de la izquierda vaya a "Políticas" ("Policies") y dele click al botón "Crear una política" ("Create policy") marcado en azul.

    AWS-Credenciales

  3. Seleccione la pestaña "JSON" para pegar una de las plantillas json que se muestran a continuación y que dependerán del servicio al que quiera acceder dentro del Cloudglass. Recuerde que si desea tener permisos para acceder a varios servicios, tendrá que crear una política separada para cada uno de ellos repitiendo todos los pasos de Creación de Políticas usando la plantilla correspondiente cada vez.

    AWS-Credenciales

    Plantilla para el servicio de Service Discovery

    Permisos para hacer el Service Discovery de instancias de EC2. Para habilitar esta acción copie la siguiente plantilla en el recuadro:

    {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": [
                   "ec2:DescribeInstances",
                   "ec2:DescribeNetworkInterfaces",
                   "ec2:DescribeNetworkInterfaceAttribute",
                   "ec2:DescribeInstanceAttribute",
                   "ec2:DescribeRegions",
                   "ec2:DescribeVolumes",
                   "cloudwatch:GetMetricStatistics",
                   "ec2:DescribeVolumeAttribute"
               ],
               "Resource": "*"
           }
       ]
    }
    

    Plantilla para el servicio de Start/Stop

    Permisos para iniciar y parar instancias EC2. Para habilitar esta acción copie la siguiente plantilla en el recuadro:

    {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "VisualEditor0",
               "Effect": "Allow",
               "Action": [
                   "ec2:StartInstances",
                   "ec2:StopInstances"               
               ],
               "Resource": "*"
           }
       ]
    }
    

    Plantilla para el servicio de AWS Support

    Permisos para abrir y darle seguimientos a tickets de soporte de AWS. Tenga en cuenta que para poder crear tickets de AWS debe tener contratado previamente un Plan de Soporte que permita abrir tickets en AWS. Para habilitar esta acción copie la siguiente plantilla en el recuadro:
     

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "Stmt1537967521089",
                "Action": "support:*",
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }
    
  4. Una vez copiada la plantilla, se le da al botón "Review policy"

    Recuerde revisar bien los permisos para cada política antes de darle al botón "Review policy"

    AWS-Credenciales

  5. Ahora debe asignar un nombre a la política. Aunque puede poner el nombre que desee, le recomendamos poner un nombre descriptivo como "Cloudglass_Service_Discovery" para el descubrimiento de instancias, "Cloudglass_Start_Stop_EC2_Instances" para encender y apagar instancias, o "Cloudglass_AWS_Support" para el servicio de soporte de AWS. Así le resultará fácil de reconocer y recordar para qué sirve, y son los que usaremos en esta guía en posteriores pasos. Aunque la descripción es opcional puede añadir un breve comentario que le resulte útil.

Una vez definidos el nombre de la política y la descripción, pulse el botón "Crear una política" ("Create Policy").

AWS-Credenciales

Ya está lista. Una vez creada la(s) política(s) con los permisos que necesite, el siguiente paso es crear un usuario.

Creación de un usuario y asignación de políticas


Para poder tener permisos para realizar las operaciones dentro del Cloudglass, necesita crear un usuario al que añadirle las políticas creadas anteriormente. Este usuario deberá ser de tipo programático. Si ha creado más de una política diferente porque quiere acceso a diferentes servicios puede añadírselas todas al mismo usuario. En ese caso usará las mismas claves (credenciales) para todos los servicios una vez acceda al Cloudglass y lo configure, pero compartir claves siempre es poco recomendable. Si quiere tener diferentes credenciales para cada servicio deberá crear un usuario para cada política, esto le proporcionará mayor seguridad al no compartir claves entre ellos.

  1. En la Consola de AWS, en la barra de búsqueda busque IAM, que es el servicio que maneja usuarios y permisos en AWS.

    AWS-Credenciales

  2. En el menú de la izquierda vaya a "Usuarios" ("Users") y dele click al botón "Añadir usuario(s)" ("Add user") marcado en azul.

    AWS-Credenciales

  3. Debe asignar un nombre al usuario. Aunque puede poner el nombre que desee, le recomendamos poner un nombre descriptivo como "Cloudglass" que le resultará fácil de reconocer y recordar para qué sirve, y es el que usaremos en esta guía en posteriores pasos. Si va a crear un usuario para cada política, asegúrese de añadir esa información en el nombre para facilitarle su diferenciación (p.e.: si está creando un usuario para el servicio de Service Discovery, puede llamar al usuario "Cloudglass_Service_Discovery"). En el "Tipo de acceso" ("Access type") marque la opción "Acceso mediante programación" ("Programmatic access"). Una vez termine pulse "Siguiente: Permisos" ("Next: Permissions").

    AWS-Credenciales

  4. Ahora es cuando le añadiremos a nuestro usuario las políticas que ya tenemos creadas. Esto es lo que le otorgará permisos a nuestro usuario para poder realizar las operaciones en Cloudglass.

    Para eso seleccione "Asociar directamente las políticas existentes" ("Attach existing policies directly"). Dentro del menú desplegable de "Filtrar políticas" ("Filter policy") que se muestra en azul seleccione "Administrado por el cliente" ("Customer managed"). En este listado ya filtrado deberían aparecer las políticas que haya creado en el paso anterior. Marque las que creó y pulse "Siguiente: Etiquetas" ("Next: Tags"). Si ha decidido tener un único usuario y ha creado múltiples políticas en este paso deberá marcarlas todas. Si, en cambio, ha decidido tener un usuario por cada política y ha creado varias, en este paso seleccione solo una de ellas.

    AWS-Credenciales

  5. Una vez seleccionada/as las policies se le damos click al botón "Next: Tags".

    AWS-Credenciales

  6. En este paso no es necesario rellenar nada. Si por alguna razón estuviera interesado en etiquetar a este usuario puede añadir todas las etiquetas que desee. Pulse el botón "Siguiente: Revisar" ("Next: Review").

    AWS-Credenciales

  7. Revise que todo se haya configurado correctamente y pulse el botón "Crear usuario" ("Create user").

    AWS-Credenciales

  8. Ahora es el momento de descargar las claves (credenciales), las cuales necesitará para poder configurar los permisos dentro del Cloudglass. Tenga cuidado de no perderlas y de guardarlas en un lugar protegido. Para descargarse las credenciales clickee en el botón "Download.csv". Ahora ya puede pulsar el botón "Cerrar" ("Close"). Ya tiene creado su usuario con los permisos necesarios.

    AWS-Credenciales

    AWS-Credenciales

Agregar las credenciales a tu usuario en el Cloudglass

  1. Entre en Cloudglass, vaya a la esquina superior izquierda y pinche en su usuario.

    AWS-Credenciales

  2. Vaya a "Mis credenciales de seguridad" y dele al botón "Agregar credencial".

    AWS-Credenciales

    También se pueden crear las credenciales en la pestaña “Mis cuentas” y seleccionar el tipo de credencial que se desea crear.

    AWS-Credenciales

  3. Seleccione la cuenta de "Amazon Web Services" a la que desea otorgar permisos y pulse "Siguiente".

    AWS-Credenciales

  4. En el siguiente paso deberá elegir una de las acciones que quiere ejecutar, luego pulse "Siguiente".

    AWS-Credenciales

  5. Rellene los campos de "Clave de acceso" y "Clave de acceso secreta" con los valores que encontrará dentro del archivo "Download.csv" que se descargó tras crear el usuario. Pulse "Guardar" una vez rellenados todos los campos.

    AWS-Credenciales

Deberá repetir los mismos pasos en el caso de que quiera configurar sus credenciales para más de un servicio.
Recuerde que para cada servicio es necesario configurar sus credenciales. Si tiene unas credenciales para todas las acciones porque creó un único usuario debe poner las mismas credenciales en cada uno de los servicios (no recomendado).