Lógica de evaluación de solicitudes en AWS

| Última modificación: 25 de octubre de 2024 | Tiempo de Lectura: 4 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

En la computación en la nube o cloud computing se requieren ciertas autorizaciones para llevar a cabo las labores de la infraestructura y que dependen de factores como la plataforma donde se esté trabajando, el tipo de usuario y el tipo de actividad que se quiere realizar. Así pues, el sistema de Amazon Web Service (AWS) implementa la llamada lógica de evaluación de solicitudes en AWS, que establece el procedimiento que se sigue para determinar si se tiene o no permisos para llevar a cabo una acción específica en la plataforma.

Esta lógica de evaluación de solicitudes en AWS se encarga de establecer si se deniega o aprueba una determinada solicitud dentro de una cuenta, por lo que será importante que conozcas en profundidad esta herramienta.

¿Qué es la lógica de evaluación de solicitudes en AWS?

La lógica de evaluación de solicitudes en AWS se refiere al procedimiento que sigue el sistema para establecer si se permite o se deniega una determinada solicitud que se haga en la plataforma.

De manera que el código de aplicaciones de la infraestructura de Amazon Web Service es el que se encarga de tomar la decisión de autorizar o rechazar una solicitud, basándose en el análisis y la evaluación de todas las políticas que se pueden aplicar al contexto de la solicitud que se ha realizado en el sistema de AWS.

Pasos de la lógica de evaluación de solicitudes en AWS

Los pasos que sigue la lógica de evaluación de solicitudes en AWS para establecer si se deniega o aprueba la petición son:

Denegación de la solicitud

El primer paso que tiene en cuenta la lógica de evaluación de solicitudes en AWS es la denegación implícita, que se refiere a rechazar todas las solicitudes de manera predeterminada.

🔴 ¿Quieres entrar de lleno al mundo DevOps & Cloud Computing? 🔴

Descubre el DevOps & Cloud Computing Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en DevOps & Cloud Computing por una semana

De manera que, en este paso, el sistema se encarga de evaluar todas las políticas de la cuenta que puedan ser aplicables bajo el contexto específico de la solicitud que se realiza, incluyendo los límites de permisos de IAM o las políticas de sesión, entre otros.

Lo que se busca en estas políticas es una instrucción Deny que se aplique para la solicitud, a lo que se conoce como denegación explícita, y en caso de que se encuentre alguna, la decisión final será denegar solicitud; mientras que, en el caso contrario, donde no exista denegación explícita, se continúa con el proceso de la lógica evaluación de solicitudes en AWS.

Service Control Policies (SCP)

El siguiente elemento que se tiene en cuenta para la toma de decisiones en la lógica de evaluación de solicitudes en AWS es el de las Service Control Policies (SCP) o Políticas de Control de Servicios

En el caso de que el código de aplicación no encuentre alguna instrucción de tipo Allow que se apruebe en estas políticas, la solicitud se deniega de manera implícita.

De modo que, en el caso que no existan SCP aplicables a la solicitud o si la SCP permite la petición, se continúa con el proceso.

Políticas de recursos

El siguiente de los componentes que se evalúan para determinar si se aprueba o deniega una solicitud bajo la lógica de evaluación de solicitudes en AWS es el de las políticas basadas en recursos. Dentro de una misma cuenta, pueden impactar de manera diferente, de acuerdo con el tipo de entidad o usuario principal que quiera ingresar al recurso y bajo el que se aplica la política.

Así pues, dependiendo del tipo de entidad, una instrucción de Allow en este tipo de políticas puede significar una aprobación de la solicitud, incluso cuando exista una denegación implícita. Cabe destacar que esto varía respecto de otras políticas que se tienen en cuenta en la evaluación.

Políticas de identidad

Lo siguiente que se comprueba en la lógica de evaluación de solicitudes de AWS son las políticas en identidad que tenga la entidad principal que remite la petición. Para los usuarios IAM, son las políticas del usuario y de los grupos a los que el usuario pertenezca.

Así pues, si no existen políticas o instrucciones que permitan la solicitud, esta es denegada. Pero, en el caso de que cualquiera de las instrucciones de estas políticas dé aval para la aprobación de la solicitud, se continúa con el proceso.

Límites de permisos de IAM

En este paso, se comprueba si la identidad de IAM que utiliza la entidad principal incluye un límite para sus permisos. Si no se permite la acción solicitada, se deniega la petición, y en caso de que no existan límites de permisos, se continúa con el proceso de la lógica de evaluación de solicitudes de AWS.

Políticas de sesión

En este caso se comprueba si la entidad utilizada es una entidad principal de sesión, en el caso de que no lo sea, se devuelve una decisión de aprobación Allow.

Si existe una política de sesión que rechace la acción, la solicitud se deniega.

Errores

Este paso indica que, en el caso de que el código de aplicación encuentre un error durante la evaluación, devolverá una excepción y se cerrará.

¿Cuál es el siguiente paso?

En este artículo has podido conocer en qué consiste la lógica de evaluación de solicitudes en AWS, así como sus características y el proceso que lleva a cabo. Ahora que estás aquí, no dudes en dar el siguiente paso y accede a nuestro DevOps & Cloud Computing Full Stack Bootcamp, donde aprenderás todo lo necesario para transformarte en un experto del sector IT. ¡Anímate a inscribirte ya y sigue aprendiendo!

Xoán Mallón

Senior DevOps Engineer en Zscaler & Coordinador del Bootcamp DevOps & Cloud Computing.

Posts más leídos

¡CONVOCATORIA ABIERTA!

DevOps & Cloud Computing

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado