Una empresa desea otorgar el mismo conjunto de permisos a 50 desarrolladores a la vez y gestionar de forma eficiente las incorporaciones, bajas y cambios de permisos. ¿Cuál es el enfoque de IAM MÁS adecuado?
Pregunta sobre la selección del método de IAM MÁS eficiente para otorgar los mismos permisos a varios usuarios.
Adjuntar manualmente una política individual a cada uno de los 50 usuarios, uno a la vez.
Adjuntar políticas de forma individual implica que cada cambio de permisos requiere modificar los 50 usuarios, lo que genera errores y omisiones.
Esto no cumple el requisito de gestión eficiente, por lo que es incorrecto.
Crear una política administrada compartida y adjuntarla directamente a cada uno de los 50 usuarios.
Usar una política administrada compartida permite otorgar los mismos permisos a todos, pero cada incorporación o baja sigue requiriendo adjuntar o desadjuntar la política usuario por usuario. Cuando hay varias políticas, el número de operaciones crece a número de usuarios × número de políticas. Además, no existe una unidad para gestionar quiénes son los desarrolladores y qué políticas tienen asignadas, lo que facilita omitir concesiones o revocaciones. Con un grupo de IAM, los permisos se aplican o eliminan simplemente cambiando la pertenencia al grupo, y la lista de miembros es visible de un vistazo. Por eso este enfoque es menos eficiente que un grupo de IAM y es incorrecto.
Crear un grupo de IAM, adjuntar los permisos al grupo y agregar los usuarios al grupo.
Correcto. Al adjuntar permisos (políticas) a un grupo de IAM y agregar los usuarios de IAM de los desarrolladores a ese grupo, los mismos permisos se aplican a todos los miembros. Un cambio de permisos solo requiere actualizar la política del grupo una vez y se refleja para todos, y agregar o eliminar miembros es simplemente una cuestión de unirse o salir del grupo.
Crear un rol de IAM compartido que todos los usuarios puedan asumir y adjuntarle los permisos.
Un rol de IAM es un mecanismo para asumir (cambiar a) permisos de forma temporal y es adecuado para otorgar permisos a servicios o para el acceso entre cuentas.
Para la gestión del día a día de la pertenencia y el conjunto de permisos de 50 personas, un grupo de IAM es la opción adecuada. Requerir que todos cambien a un rol cada vez es un enfoque indirecto para el requisito, por lo que es incorrecto.
'Múltiples usuarios con los mismos permisos' y 'gestión eficiente' = Grupo de IAM. Cambiar la política del grupo se refleja para todos los miembros. La adjunción individual genera trabajo por usuario, y los roles son principalmente para la asunción temporal de permisos.