<center> <span style="color:indigo">Machine Learning e Inferencia Bayesiana</span> </center> 

<div style="text-align: center;">
<img src="https://encrypted-tbn0.gstatic.com/images?q=tbn:ANd9GcS0WSh0YpPADMyLcYjY2nquZCtr-d-DWDbWwg&s" alt="Drawing" style="width: 800px;"/>
</div>

<center> <span style="color:DarkBlue">  Tarea 1. AWS IAM </span>  </center>
<center> <span style="color:Blue"> Profesor: Iván A. Toledano Juárez </span>  </center>

## ¿Qué es IAM (Identity and Access Management)?

IAM es el servicio de AWS que permite controlar de forma segura el acceso a los recursos de AWS. Con este servicio se puede:
- Crear y gestionar usuarios y grupos
- Asignar permisos específicos mediante políticas
- Controlar quién puede hacer qué en tu cuenta de AWS

Este notebook contiene ejercicios progresivos para entender y practicar la gestión de usuarios y accesos en AWS usando IAM.

---

In [13]:
import boto3
import botocore
from utils import create_user

## Ejercicio 1: Crear un Usuario IAM

1. Crea un usuario llamado `developer-<tu-nombre>`
2. Imprime la respuesta y observa los campos devueltos (e.g., UserName, UserId, Arn, CreateDate)
3. Explica qué es un ARN (Amazon Resource Name) y por qué es importante

**Conceptos clave:**
- Los usuarios IAM son identidades con credenciales permanentes
- Cada recurso en AWS tiene un ARN único que lo identifica

In [14]:
create_user("developer-carlos")

{'User': {'Path': '/', 'UserName': 'developer-carlos', 'UserId': 'AIDAV5FX4KXPLTT7CVVPW', 'Arn': 'arn:aws:iam::406260045278:user/developer-carlos', 'CreateDate': datetime.datetime(2026, 2, 18, 15, 58, 2, tzinfo=tzutc())}, 'ResponseMetadata': {'RequestId': '427e4859-5eed-4c5b-9614-01dc384cd467', 'HTTPStatusCode': 200, 'HTTPHeaders': {'date': 'Wed, 18 Feb 2026 15:58:02 GMT', 'x-amzn-requestid': '427e4859-5eed-4c5b-9614-01dc384cd467', 'content-type': 'text/xml', 'content-length': '493'}, 'RetryAttempts': 0}}


**ARN** Es el identificador *único* de un recurso en AWS (usuario, rol, policy, bucket, etc.). Tiene un formato estandarizado (por ejemplo, `arn:aws:iam::123456789012:user/developer-carlos`).

## Ejercicio 2: Listar Todos los Usuarios

1. Lista todos los usuarios IAM de tu cuenta
2. Cuenta cuántos usuarios existen
3. Investiga por qué se usa un `paginator` en lugar de una llamada directa

**Conceptos clave:**
- La paginación es necesaria cuando hay muchos resultados
- AWS limita el número de resultados por respuesta para optimizar el rendimiento

In [15]:
iam = boto3.client("iam")

# Usaremos paginación para listar todos los usuarios
paginator = iam.get_paginator("list_users")

users = []
for page in paginator.paginate():
    users.extend(page.get("Users", []))

print("Usuarios IAM encontrados:", len(users))
for u in users:
    print(f"- {u['UserName']} | {u['Arn']} | Created: {u['CreateDate']}")

Usuarios IAM encontrados: 2
- developer-carlos | arn:aws:iam::406260045278:user/developer-carlos | Created: 2026-02-18 15:58:02+00:00
- user_topicossiii_2026 | arn:aws:iam::406260045278:user/user_topicossiii_2026 | Created: 2026-02-09 18:51:02+00:00


**paginator** se utiliza por que muchos métodos de AWS devuelven resultados en *páginas* para limitar el tamaño de la respuesta (por performance y límites del API).  
  Con `paginator` recorres todas las páginas sin tener que manejar manualmente `Marker/NextToken`.

## Ejercicio 3: Crear un Grupo y Agregar Usuarios

**Tarea:**
1. Crea un grupo llamado `Developers`
2. Agrega el usuario que creaste en el Ejercicio 1 a este grupo
3. Crea otro usuario y agrégalo también al grupo
4. Explica la ventaja de usar grupos vs asignar permisos individualmente

**Conceptos clave:**
- Los grupos simplifican la gestión de permisos
- Un usuario puede pertenecer a múltiples grupos
- Los permisos se heredan de todos los grupos a los que pertenece el usuario

In [16]:
from utils import create_group, add_user_to_group, create_user

GROUP_NAME = "Developers"
USER_1 = "developer-carlos" 
USER_2 = "developer-alberto"      

print(create_group(GROUP_NAME))

# Agregar user 1 al grupo
print(add_user_to_group(USER_1, GROUP_NAME))

# Crear y agregar user 2 al grupo
print(create_user(USER_2))
print(add_user_to_group(USER_2, GROUP_NAME))


None
None
{'User': {'Path': '/', 'UserName': 'developer-alberto', 'UserId': 'AIDAV5FX4KXPGL6FRF6KG', 'Arn': 'arn:aws:iam::406260045278:user/developer-alberto', 'CreateDate': datetime.datetime(2026, 2, 18, 15, 59, 25, tzinfo=tzutc())}, 'ResponseMetadata': {'RequestId': 'b9c9f1d9-bd4d-4735-943f-62bd557dabce', 'HTTPStatusCode': 200, 'HTTPHeaders': {'date': 'Wed, 18 Feb 2026 15:59:25 GMT', 'x-amzn-requestid': 'b9c9f1d9-bd4d-4735-943f-62bd557dabce', 'content-type': 'text/xml', 'content-length': '495'}, 'RetryAttempts': 0}}
None
None


**Ventaja de usar grupos vs permisos individuales**

Los grupos simplifican la administración: asi se asignan permisos en una sola vez al grupo y todos los usuarios dentro heredan esos permisos.  
Esto permite escalar (más usuarios) y cambiar roles rápidamente (mover usuarios entre grupos) sin reconfigurar permisos uno por uno, reduciendo errores y mejorando el control.


## Ejercicio 4: Crear una Política Personalizada

**Tarea:**
1. Crea una política que permita:
   - Listar todos los buckets de S3 (`s3:ListAllMyBuckets`)
   - Leer objetos de un bucket específico (`s3:GetObject`)
2. Nombra la política `ReadOnlyS3Policy`
3. Explica los componentes del documento JSON de la política (Statement, Effect, Action, Resource)

**Conceptos clave:**
- Las políticas definen permisos en formato JSON
- Effect puede ser "Allow" o "Deny"
- Resource especifica a qué recursos aplica la política
- Action define qué operaciones están permitidas/denegadas

In [17]:
iam = boto3.client("iam")

policy_name = "ReadOnlyS3Policy"
readonly_policy_arn = None

paginator = iam.get_paginator("list_policies")

for page in paginator.paginate(Scope="Local"):
    for policy in page["Policies"]:
        if policy["PolicyName"] == policy_name:
            readonly_policy_arn = policy["Arn"]
            break
    if readonly_policy_arn:
        break

print("Policy ARN:", readonly_policy_arn)


Policy ARN: None


In [None]:
iam = boto3.client("iam")

policy_arn = "arn:aws:iam::406260045278:policy/ReadOnlyS3Policy"

# Obtener la policy
policy = iam.get_policy(PolicyArn=policy_arn)

# Obtener la versión por defecto
version_id = policy["Policy"]["DefaultVersionId"]

policy_version = iam.get_policy_version(
    PolicyArn=policy_arn,
    VersionId=version_id
)

# Mostrar el documento JSON de la policy
policy_document = policy_version["PolicyVersion"]["Document"]

print(json.dumps(policy_document, indent=4))


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::topicosiii-carlos-2026/*"
        }
    ]
}


### Explicación sencilla de los componentes de una política IAM

Las políticas en AWS están escritas en formato JSON y sirven para definir qué puede o no puede hacer un usuario dentro de la cuenta.

Una política tiene cuatro partes principales:

#### 1. Statement
Es la parte donde se escribe la regla de permisos.  
Dentro de "Statement" se define exactamente qué está permitido o denegado.

#### 2. Effect
Indica si la acción se permite o se niega.  
Puede ser:
- "Allow" → Permite la acción.
- "Deny" → Niega la acción.

Si existe un "Deny", este siempre tiene prioridad sobre un "Allow".

#### 3. Action
Especifica qué acción se puede realizar.  
Se escribe como: servicio:acción.

Ejemplos:
- s3:ListAllMyBuckets → Permite ver todos los buckets.
- s3:GetObject → Permite leer archivos dentro de un bucket.

#### 4. Resource
Indica sobre qué recurso se aplica la acción.  
Puede ser:
- "*" → Todos los recursos.
- Un ARN específico → Solo un bucket o recurso determinado.

En resumen, una política responde a la pregunta:

¿Qué acción puede hacer el usuario y sobre qué recurso?

Esto permite controlar de manera segura el acceso dentro de AWS.

## Ejercicio 5: Adjuntar Política a un Usuario

**Tarea:**
1. Adjunta la política que creaste en el Ejercicio 4 al usuario del Ejercicio 1
2. Lista todas las políticas adjuntas a ese usuario usando `list_attached_user_policies()`

**Conceptos clave:**
- Políticas administradas: reutilizables, pueden adjuntarse a múltiples usuarios/grupos
- Políticas inline: están embebidas directamente en un usuario/grupo/rol específico

In [23]:
iam = boto3.client("iam")

USERNAME = "developer-carlos"
POLICY_ARN = "arn:aws:iam::406260045278:policy/ReadOnlyS3Policy"

response = iam.attach_user_policy(
    UserName=USERNAME,
    PolicyArn=POLICY_ARN
)

print("Policy adjuntada correctamente.")


Policy adjuntada correctamente.


## Ejercicio 6: Adjuntar Política a un Grupo

**Tarea:**
1. Adjunta una política administrada de AWS (por ejemplo, `ReadOnlyAccess`) al grupo `Developers`
2. Verifica que todos los usuarios del grupo ahora tienen esos permisos

**Conceptos clave:**
- Los permisos efectivos son la unión de todas las políticas aplicadas
- Políticas de usuario + políticas de grupos + políticas basadas en recursos
- Un "Deny" explícito siempre tiene prioridad sobre "Allow"

In [24]:
iam = boto3.client("iam")

GROUP_NAME = "Developers"
POLICY_ARN = "arn:aws:iam::aws:policy/ReadOnlyAccess"

response = iam.attach_group_policy(
    GroupName=GROUP_NAME,
    PolicyArn=POLICY_ARN
)

print("Política ReadOnlyAccess adjuntada al grupo Developers.")



Política ReadOnlyAccess adjuntada al grupo Developers.


## Ejercicio 7: Crear Access Keys para Acceso Programático

Generar credenciales para que un usuario pueda usar AWS CLI o SDKs.

**Tarea:**
1. Crea un access key para el usuario del Ejercicio 1
2. Guarda el AccessKeyId y SecretAccessKey de forma segura (¡no los compartas!)
3. Explica la diferencia entre credenciales de consola (password) y credenciales programáticas (access keys)
4. Investiga las mejores prácticas para rotar access keys

**Conceptos clave:**
- Access keys permiten acceso programático a AWS
- Consisten en AccessKeyId (público) y SecretAccessKey (secreto)
- Deben rotarse regularmente por seguridad
- Nunca deben incluirse en código fuente

In [25]:
iam = boto3.client("iam")

USERNAME = "developer-carlos"

# Crear access key
resp = iam.create_access_key(UserName=USERNAME)
ak = resp["AccessKey"]

access_key_id = ak["AccessKeyId"]
secret_access_key = ak["SecretAccessKey"]

# Ruta donde quieres guardar
file_path = r"C:\Users\INIFAP-MOVIL\Documents\4 CUARTO SEMESTRE\Topicos Selectos de Grandes Bass de Datos III\aws_access_keys_developer-carlos.txt"

# Guardar en archivo
with open(file_path, "w") as f:
    f.write("AWS Access Keys\n")
    f.write("=====================\n")
    f.write(f"AccessKeyId: {access_key_id}\n")
    f.write(f"SecretAccessKey: {secret_access_key}\n")

print("Access key creada y guardada en:")
print(file_path)

# Mostrar solo parcialmente en pantalla (seguridad)
print("\nAccessKeyId:", access_key_id)
print("SecretAccessKey (masked):", secret_access_key[:2] + "..." + secret_access_key[-4:])


Access key creada y guardada en:
C:\Users\INIFAP-MOVIL\Documents\4 CUARTO SEMESTRE\Topicos Selectos de Grandes Bass de Datos III\aws_access_keys_developer-carlos.txt

AccessKeyId: AKIAV5FX4KXPNJLMSQNM
SecretAccessKey (masked): 4M...nW7i


### Diferencia entre credenciales de consola y credenciales programáticas

Las credenciales de consola consisten en un nombre de usuario y una contraseña, y se utilizan para acceder a la interfaz web de AWS desde un navegador. Están diseñadas para el acceso manual por parte de una persona.

Las credenciales programáticas (access keys) están compuestas por un AccessKeyId y un SecretAccessKey, y se utilizan para acceder a AWS mediante código, scripts o herramientas como AWS CLI. Están diseñadas para el acceso automatizado.

En resumen, la contraseña se usa para acceso humano en la consola, mientras que las access keys se usan para acceso automático desde aplicaciones.

### Mejores prácticas para rotar access keys

La rotación de access keys es una medida de seguridad que reduce el riesgo de uso indebido en caso de filtración. Las mejores prácticas son:

- Rotar las access keys de forma periódica (por ejemplo, cada 90 días).
- No reutilizar claves antiguas.
- Desactivar y eliminar claves que ya no se utilicen.
- Evitar almacenar claves directamente en el código fuente.
- Utilizar variables de entorno o servicios seguros para almacenarlas.
- Implementar el principio de mínimo privilegio, otorgando solo los permisos necesarios.

La rotación frecuente ayuda a minimizar el impacto ante posibles vulnerabilidades o accesos no autorizados.


## Ejercicio 8: Limpieza - Desadjuntar Políticas y Eliminar Recursos

**Tarea:**
1. Elimina las access keys del usuario
2. Desadjunta todas las políticas del usuario
3. Remueve el usuario del grupo
4. Desadjunta las políticas del grupo
5. Elimina el grupo
6. Elimina el usuario
7. Elimina las políticas personalizadas
8. Explica por qué el orden de eliminación es importante

**Conceptos clave:**
- AWS no permite eliminar recursos con dependencias activas
- Debes limpiar en orden inverso a la creación
- Las políticas administradas de AWS no se pueden eliminar
- Gestión del ciclo de vida de recursos

In [26]:
from utils import (
    list_access_keys,
    delete_access_key,
    list_user_policies,
    detach_user_policy,
    delete_user_group,
    list_group_policies,
    detach_group,
    delete_group,
    delete_user,
    delete_policy
)

USER_1 = "developer-carlos"
USER_2 = "developer-alberto"
GROUP = "Developers"
CUSTOM_POLICY_ARN = "arn:aws:iam::406260045278:policy/ReadOnlyS3Policy"

# 1) Eliminar access keys
for user in [USER_1, USER_2]:
    keys = list_access_keys(user)["AccessKeyMetadata"]
    for k in keys:
        delete_access_key(user, k["AccessKeyId"])
print("Access keys eliminadas.")

# 2) Desadjuntar políticas del usuario
for user in [USER_1, USER_2]:
    user_policies = list_user_policies(user)["AttachedPolicies"]
    for p in user_policies:
        detach_user_policy(user, p["PolicyArn"])
print("Políticas desadjuntadas de los usuarios.")

# 3) Remover usuarios del grupo
delete_user_group(USER_1, GROUP)
delete_user_group(USER_2, GROUP)
print("Usuarios removidos del grupo.")

# 4) Desadjuntar políticas del grupo
group_policies = list_group_policies(GROUP)["AttachedPolicies"]
for p in group_policies:
    detach_group(p["PolicyArn"], GROUP)
print("Políticas desadjuntadas del grupo.")

# 5) Eliminar grupo
delete_group(GROUP)
print("Grupo eliminado.")

# 6) Eliminar usuarios
delete_user(USER_1)
delete_user(USER_2)
print("Usuarios eliminados.")

# 7) Eliminar policy personalizada
delete_policy(CUSTOM_POLICY_ARN)
print("Política personalizada eliminada.")


Access keys eliminadas.
Políticas desadjuntadas de los usuarios.
{'ResponseMetadata': {'RequestId': 'a265bff3-6966-45e6-8171-a993483dcb0b', 'HTTPStatusCode': 200, 'HTTPHeaders': {'date': 'Wed, 18 Feb 2026 18:01:21 GMT', 'x-amzn-requestid': 'a265bff3-6966-45e6-8171-a993483dcb0b', 'content-type': 'text/xml', 'content-length': '218'}, 'RetryAttempts': 0}}
{'ResponseMetadata': {'RequestId': 'a5fa2111-b855-41e8-b0c6-964c427a7599', 'HTTPStatusCode': 200, 'HTTPHeaders': {'date': 'Wed, 18 Feb 2026 18:01:21 GMT', 'x-amzn-requestid': 'a5fa2111-b855-41e8-b0c6-964c427a7599', 'content-type': 'text/xml', 'content-length': '218'}, 'RetryAttempts': 0}}
Usuarios removidos del grupo.
{'ResponseMetadata': {'RequestId': '9a478c38-5d71-4799-ab81-c959e4a63ede', 'HTTPStatusCode': 200, 'HTTPHeaders': {'date': 'Wed, 18 Feb 2026 18:01:22 GMT', 'x-amzn-requestid': '9a478c38-5d71-4799-ab81-c959e4a63ede', 'content-type': 'text/xml', 'content-length': '214'}, 'RetryAttempts': 0}}
Políticas desadjuntadas del grupo.


### Por qué el orden de eliminación es importante?

AWS no permite eliminar recursos que tengan dependencias activas.

Un usuario no puede eliminarse si:
- Tiene access keys activas.
- Tiene políticas adjuntas.
- Pertenece a un grupo.

Un grupo no puede eliminarse si:
- Tiene usuarios asociados.
- Tiene políticas adjuntas.

Una política personalizada no puede eliminarse si aún está adjunta a alguna entidad.

Por ello, la eliminación debe hacerse en orden inverso a la creación para evitar errores como DeleteConflictException.


## Bibliografía

- [Documentación oficial de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/)
- [Documentación Boto3 IAM](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/iam.html)
- [AWS IAM Best Practices](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)