# **Introducci√≥n a los Servicios Fundamentales de AWS e implementaci√≥n de seguridad**

# Introducci√≥n

En este notebook, exploraremos cuatro servicios fundamentales de AWS:

1. **IAM (Identity and Access Management)** üõ°Ô∏è
2. **AWS Networking: VPC, Subnets, NAT, Internet Gateway, Route Tables, ACL** üåê
3. **M√°quinas Virtuales (EC2)** üíª
4. **Contenedores (ECS)** üì¶
5. **Computaci√≥n Serverless (Lambda)** ‚ö°

Veremos las caracter√≠sticas de cada uno y c√≥mo se implementan en AWS mediante este ejercicio.

## Diagrama de ejercicio general

![Diagram](assets/diagram.png)

## Explicaci√≥n Arquitectura en AWS 

En este ejercicio vamos a crear una arquitectura en AWS que utiliza una VPC con subnets p√∫blicas y privadas:

- **Subnet p√∫blica**: alojar√° una aplicaci√≥n web. üåê
- **Subnet privada**: contendr√° una base de datos. üíæ

## Componentes clave:

- **Internet Gateway**: permitir√° el acceso externo. üåç
- **NAT Gateway**: permitir√° que la base de datos acceda a internet sin ser expuesta. üîí
- **Security Groups**: proteger√°n los recursos controlando el tr√°fico. üõ°Ô∏è
- **ECR (Elastic Container Registry)**: almacenar√° im√°genes de contenedores utilizadas por la aplicaci√≥n. üì¶
- **Lambda**: se emplear√° para hacer llamadas al servicio web. ‚ö°
- **S3**: almacenar√° los logs de las llamadas Lambda. La Lambda tendr√° un rol con acceso exclusivo a un bucket S3. üóÉÔ∏è
- **Session Manager**: se usar√° para una conexi√≥n segura a las instancias. üîê
- **Tablas de enrutamiento**: gestionar√°n el flujo del tr√°fico dentro de la VPC. üõ£Ô∏è

Esta arquitectura asegura una comunicaci√≥n eficiente y segura entre los diferentes componentes.


# IAM (Identity and Access Management)

**IAM** es un servicio web que ayuda a controlar de forma segura el acceso a los recursos de AWS. üõ°Ô∏è

Caracter√≠sticas:
- Gesti√≥n centralizada de usuarios y accesos üë•
- Autenticaci√≥n y autorizaci√≥n granular üîê
- Integraci√≥n con servicios AWS üîó
- Soporte para identidades federadas üåç
- Sin costo adicional üí∏


## Conceptos Clave

- **Cuenta Root**: Al crear una cuenta de AWS, se crea una cuenta root por defecto. Esta cuenta tiene acceso completo a todos los recursos y servicios de AWS y **no debe ser compartida**. üîë
- **Usuarios**: Son entidades que creas en AWS para representar personas o servicios que interact√∫an con los recursos de AWS. Cada usuario tiene un conjunto √∫nico de credenciales. üë§
- **Grupos**: Son colecciones de usuarios. No pueden contener otros grupos, solo usuarios. Los usuarios pueden pertenecer a uno o m√°s grupos. üë•
- **Roles**: Son similares a los usuarios, pero est√°n destinados a ser asumidos por cualquier entidad que necesite acceso temporal a recursos espec√≠ficos. üé≠
- **Pol√≠ticas**: Definen permisos y pueden ser adjuntadas a usuarios, grupos o roles. üìú


### Ejemplo: Asignar nuevo usuario grupo con acceso a S3

En este ejercicio, vamos a crear un usuario y un grupo en AWS. El grupo tendr√° permisos exclusivamente para enlistar y crear buckets en S3.


In [2]:
from IPython.display import IFrame

pdf_path = 'assets/iam.pdf'

IFrame(pdf_path, width=1000, height=500)


### Ejemplo: Crear un Rol de Administrador y Asumirlo por el Usuario
En este ejercicio, crearemos un rol de tipo Administrador, que tendr√° permisos para crear y leer cualquier recurso en la cuenta de AWS. Adem√°s, otorgaremos al usuario los permisos necesarios para asumir este rol y ejecutar dichas acciones

In [1]:
from IPython.display import IFrame

pdf_path = 'assets/roleassume.pdf'

IFrame(pdf_path, width=1000, height=500)

### Documentaci√≥n

Consultar esta informaci√≥n para m√°s detalles:
- [Crear usuarios en IAM](https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/id_users_create.html)
- [Crear grupos en IAM](https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/id_groups_create.html)
- [Crear roles para servicios en IAM](https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/id_roles_create_for-service.html)
- [Crear roles en IAM](https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/id_roles_create.html)
- [Roles de IAM](https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/id_roles.html)
- [Asumir roles de AWS](https://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/id_roles_use.html)

# Setup Inicial para ejecutar proyecto üöÄ

### Importar bibliotecas üöÄ

In [3]:
import boto3
import json

### Configurar el cliente de AWS (aseg√∫rate de tener tus credenciales configuradas) üöÄ

In [4]:
iam = boto3.client('iam')
ec2 = boto3.client('ec2')
lambda_client = boto3.client('lambda')
ecs = boto3.client('ecs')

# AWS Networking: VPC, Subnets, NAT, Internet Gateway, Route Tables, ACL üåê

AWS Networking se centra en la configuraci√≥n y gesti√≥n de redes dentro de AWS utilizando varios componentes clave:

- **VPC (Virtual Private Cloud):** Una red virtual aislada dentro de AWS donde se despliegan recursos. üè†
- **Subnets:** Segmentos de una VPC que permiten organizar y asegurar los recursos de manera granular. üìä
- **NAT (Network Address Translation):** Permite que instancias en subnets privadas accedan a Internet sin exponer sus direcciones IP privadas. üîÑ
- **Internet Gateway:** Un componente que permite la comunicaci√≥n entre instancias en una VPC y la Internet. üåç
- **Route Tables:** Definen las reglas de enrutamiento para controlar el tr√°fico dentro de la VPC y hacia fuera. üõ£Ô∏è
- **ACL (Access Control Lists):** Listas de control de acceso que proporcionan una capa de seguridad adicional a nivel de subred, permitiendo o denegando tr√°fico. üîí

Estos componentes juntos permiten dise√±ar y gestionar redes seguras y eficientes en la nube de AWS.


## Creaci√≥n y Configuraci√≥n de una VPC üèóÔ∏è

Una Virtual Private Cloud (VPC) es una red virtual en la nube de AWS, aislada l√≥gicamente de otras redes virtuales. A continuaci√≥n, se detalla c√≥mo crear y configurar una VPC usando Boto3, la biblioteca de AWS para Python.

In [12]:
import boto3

# Crea una VPC
response = ec2.create_vpc(
    CidrBlock='10.0.0.0/16'
)

vpc_id = response['Vpc']['VpcId']
print(f'VPC creada con ID: {vpc_id}')

# Habilita el DNS hostname para la VPC
ec2.modify_vpc_attribute(
    VpcId=vpc_id,
    EnableDnsSupport={'Value': True}
)

ec2.modify_vpc_attribute(
    VpcId=vpc_id,
    EnableDnsHostnames={'Value': True}
)

# Crea una etiqueta para la VPC
ec2.create_tags(
    Resources=[vpc_id],
    Tags=[{'Key': 'Name', 'Value': 'DemoVPC'}]
)


VPC creada con ID: vpc-054eacb87342c9240


{'ResponseMetadata': {'RequestId': '151f16ce-a9ce-4ffa-964a-b5e9353d4c8a',
  'HTTPStatusCode': 200,
  'HTTPHeaders': {'x-amzn-requestid': '151f16ce-a9ce-4ffa-964a-b5e9353d4c8a',
   'cache-control': 'no-cache, no-store',
   'strict-transport-security': 'max-age=31536000; includeSubDomains',
   'content-type': 'text/xml;charset=UTF-8',
   'content-length': '221',
   'date': 'Tue, 06 Aug 2024 14:18:51 GMT',
   'server': 'AmazonEC2'},
  'RetryAttempts': 0}}

## Agregar Subnets


In [13]:
# Crear la subnet p√∫blica
response_public_subnet = ec2.create_subnet(
    VpcId=vpc_id,
    CidrBlock='10.0.1.0/24',
    AvailabilityZone='us-east-1a'
)

public_subnet_id = response_public_subnet['Subnet']['SubnetId']
print(f'Subnet p√∫blica creada con ID: {public_subnet_id}')

# Crear una etiqueta para la subnet p√∫blica
ec2.create_tags(
    Resources=[public_subnet_id],
    Tags=[{'Key': 'Name', 'Value': 'PublicSubnet'}]
)

# Crear la subnet privada
response_private_subnet = ec2.create_subnet(
    VpcId=vpc_id,
    CidrBlock='10.0.2.0/24',
    AvailabilityZone='us-east-1a'
)

private_subnet_id = response_private_subnet['Subnet']['SubnetId']
print(f'Subnet privada creada con ID: {private_subnet_id}')

# Crear una etiqueta para la subnet privada
ec2.create_tags(
    Resources=[private_subnet_id],
    Tags=[{'Key': 'Name', 'Value': 'PrivateSubnet'}]
)

# Crear un Internet Gateway
response_igw = ec2.create_internet_gateway()
igw_id = response_igw['InternetGateway']['InternetGatewayId']
print(f'Internet Gateway creado con ID: {igw_id}')

# Adjuntar el Internet Gateway a la VPC
ec2.attach_internet_gateway(
    InternetGatewayId=igw_id,
    VpcId=vpc_id
)

# Crear una etiqueta para el Internet Gateway
ec2.create_tags(
    Resources=[igw_id],
    Tags=[{'Key': 'Name', 'Value': 'DemoIGW'}]
)

# Obtener la tabla de rutas predeterminada
response_route_tables = ec2.describe_route_tables(
    Filters=[
        {
            'Name': 'vpc-id',
            'Values': [vpc_id]
        }
    ]
)

route_table_id = response_route_tables['RouteTables'][0]['RouteTableId']
print(f'Tabla de rutas predeterminada con ID: {route_table_id}')

# Crear una ruta en la tabla de rutas predeterminada que apunte al Internet Gateway
ec2.create_route(
    RouteTableId=route_table_id,
    DestinationCidrBlock='0.0.0.0/0',
    GatewayId=igw_id
)

# Asociar la tabla de rutas predeterminada con la subnet p√∫blica
ec2.associate_route_table(
    RouteTableId=route_table_id,
    SubnetId=public_subnet_id
)

# Crear una nueva tabla de rutas para la subnet privada
response_private_route_table = ec2.create_route_table(
    VpcId=vpc_id
)

private_route_table_id = response_private_route_table['RouteTable']['RouteTableId']
print(f'Tabla de rutas privada creada con ID: {private_route_table_id}')

# Crear una etiqueta para la tabla de rutas privada
ec2.create_tags(
    Resources=[private_route_table_id],
    Tags=[{'Key': 'Name', 'Value': 'PrivateRouteTable'}]
)

# Asociar la nueva tabla de rutas con la subnet privada
ec2.associate_route_table(
    RouteTableId=private_route_table_id,
    SubnetId=private_subnet_id
)

print('Configuraci√≥n de VPC completa. La subnet p√∫blica tiene acceso a Internet y la subnet privada tiene su propia tabla de rutas.')

Subnet p√∫blica creada con ID: subnet-00cde9c01181ce876
Subnet privada creada con ID: subnet-0299cfec4a384f661
Internet Gateway creado con ID: igw-0ba5c6efc1677287f
Tabla de rutas predeterminada con ID: rtb-0aa614349600d8ab3
Tabla de rutas privada creada con ID: rtb-02f811a092171f3a4
Configuraci√≥n de VPC completa. La subnet p√∫blica tiene acceso a Internet y la subnet privada tiene su propia tabla de rutas.


# M√°quinas Virtuales (EC2 en AWS) üíª

Las m√°quinas virtuales son emulaciones de sistemas inform√°ticos completos. En AWS, se implementan como instancias EC2 (Elastic Compute Cloud).

Caracter√≠sticas:
- Emula hardware completo üñ•Ô∏è
- Control total sobre el sistema operativo ‚öôÔ∏è
- Requiere gesti√≥n y mantenimiento del sistema operativo üõ†Ô∏è
- Escalado manual o automatizado, pero no instant√°neo üìà
- Facturaci√≥n por hora/segundo de ejecuci√≥n ‚è≤Ô∏è

## Ejemplo: Instancia EC2 AWS üöÄ

En esta secci√≥n, se explica c√≥mo lanzar una instancia EC2 en AWS, configurar su grupo de seguridad para permitir conexiones SSH usando EC2 Instance Connect y ejecutar un script de instalaci√≥n de Docker en el momento del lanzamiento de la instancia.

### Creaci√≥n y Configuraci√≥n de un Grupo de Seguridad para EC2 Instance Connect üöÄ

In [6]:
from botocore.exceptions import ClientError

# Especifica tu VPC y las IDs de subred
subnet_id = public_subnet_id

# Crea o obtiene un grupo de seguridad existente
security_group_name = 'EC2-InstanceConnect-SG'
try:
    security_group = ec2.create_security_group(
        GroupName=security_group_name,
        Description='Security group for EC2 Instance Connect',
        VpcId=vpc_id
    )
    
    # Agrega una regla de entrada para SSH desde el rango de IP de EC2 Instance Connect
    ec2.authorize_security_group_ingress(
        GroupId=security_group['GroupId'],
        IpPermissions=[
            {
                'IpProtocol': 'tcp',
                'FromPort': 22,
                'ToPort': 22,
                'IpRanges': [{'CidrIp': '18.206.107.24/29'}]  # Rango de IP de EC2 Instance Connect
            }
        ]
    )
    print("Grupo de seguridad creado exitosamente con regla de entrada SSH")
except ClientError as e:
    if e.response['Error']['Code'] == 'InvalidGroup.Duplicate':
        print("El grupo de seguridad ya existe. Usando el grupo existente.")
        security_groups = ec2.describe_security_groups(
            Filters=[
                {'Name': 'group-name', 'Values': [security_group_name]},
                {'Name': 'vpc-id', 'Values': [vpc_id]}
            ]
        )['SecurityGroups']
        if security_groups:
            security_group = security_groups[0]
        else:
            raise Exception(f"Grupo de seguridad {security_group_name} no encontrado en la VPC {vpc_id}")
    else:
        raise e


Grupo de seguridad creado exitosamente con regla de entrada SSH


### Lanza la instancia EC2 e instala docker üöÄ

In [7]:
# Lee el contenido de docker_install.sh
with open('scripts/docker_install.sh', 'r') as file:
    docker_install_script = file.read()
    
try:
    user_data_script = f'''#!/bin/bash
        yum update -y
        yum install -y ec2-instance-connect
        echo "Instancia lanzada con EC2 Instance Connect instalado"

        # Script de instalaci√≥n de Docker
        {docker_install_script}
    '''

    response = ec2.run_instances(
        ImageId='ami-04a81a99f5ec58529',  # AMI de Amazon Linux 2023
        InstanceType='t2.micro',
        MinCount=1,
        MaxCount=1,
        UserData=user_data_script,
        NetworkInterfaces=[{
            'SubnetId': subnet_id,
            'DeviceIndex': 0,
            'AssociatePublicIpAddress': True,
            'Groups': [security_group['GroupId']]
        }]
    )

    instance_id = response['Instances'][0]['InstanceId']
    print(f"Instancia EC2 creada con ID: {instance_id}")

    print("Configuraci√≥n completa. La instancia se est√° lanzando.")
    print("Docker se instalar√° durante el lanzamiento de la instancia.")
    print("Deber√≠as poder conectarte usando EC2 Instance Connect una vez que est√© lista.")
except ClientError as e:
    print(f"Error al lanzar la instancia EC2: {e}")

Instancia EC2 creada con ID: i-069d1f9faca012a32
Configuraci√≥n completa. La instancia se est√° lanzando.
Docker se instalar√° durante el lanzamiento de la instancia.
Deber√≠as poder conectarte usando EC2 Instance Connect una vez que est√© lista.


# Containers usando Docker y ECR üê≥üöÄ
En esta secci√≥n, exploramos c√≥mo usar contenedores Docker y Amazon Elastic Container Service (ECS) para desplegar y gestionar aplicaciones en AWS.

**Docker:**
- üê≥ **Docker:** Una plataforma para desarrollar, enviar y ejecutar aplicaciones dentro de contenedores ligeros y port√°tiles.
- üì¶ **Im√°genes:** Archivos que contienen todo lo necesario para ejecutar una aplicaci√≥n: c√≥digo, runtime, bibliotecas y configuraciones.
- üöÄ **Contenedores:** Instancias ejecutables de im√°genes Docker que pueden iniciarse y detenerse r√°pidamente.

**Amazon ECR:**
- üì¶ **ECR (Elastic Container Registry):** Un servicio de almacenamiento completamente gestionado para im√°genes Docker, que facilita el almacenamiento, la gesti√≥n y el despliegue de im√°genes de contenedores.
- üîí **Seguridad:** Integraci√≥n con IAM para controlar el acceso a los repositorios de im√°genes.
- üîÑ **Automatizaci√≥n:** Soporte para pipelines de CI/CD para automatizar el despliegue de im√°genes.


### Creaci√≥n de repositorio ECR

In [8]:
import boto3
from botocore.exceptions import ClientError

# Crear un cliente para ECR
ecr_client = boto3.client('ecr')

# Nombre del repositorio ECR
repository_name = 'spend-wise-app'

try:
    # Crear el repositorio ECR
    response = ecr_client.create_repository(
        repositoryName=repository_name,
        imageTagMutability='MUTABLE',
        imageScanningConfiguration={'scanOnPush': True}
    )

    # Extraer y mostrar detalles del repositorio creado
    repository_uri = response['repository']['repositoryUri']
    print(f"Repositorio ECR creado exitosamente: {repository_uri}")

except ClientError as e:
    # Manejo de errores espec√≠ficos de AWS
    if e.response['Error']['Code'] == 'RepositoryAlreadyExistsException':
        print(f"El repositorio {repository_name} ya existe.")
    else:
        print(f"Error al crear el repositorio ECR: {e}")


Repositorio ECR creado exitosamente: 021891591921.dkr.ecr.us-east-1.amazonaws.com/spend-wise-app


# Serverless (AWS Lambda) ‚ö°

La computaci√≥n serverless permite ejecutar c√≥digo sin provisionar ni administrar servidores. AWS Lambda es el servicio serverless de AWS.

Caracter√≠sticas:
- No hay que gestionar servidores üõ†Ô∏è
- Escalado autom√°tico e instant√°neo üìà
- Facturaci√≥n por milisegundo de ejecuci√≥n ‚è±Ô∏è
- Ideal para cargas de trabajo intermitentes üåê
- Limitado en tiempo de ejecuci√≥n y recursos ‚è≥

### Ejemplo: Crear una funci√≥n Lambda

In [None]:
def create_lambda_function():
    with open('lambda_function.zip', 'rb') as f:
        zipped_code = f.read()
    
    response = lambda_client.create_function(
        FunctionName='MyLambdaFunction',
        Runtime='python3.8',
        Role='arn:aws:iam::XXXXXXXXXXXX:role/lambda-role',  # IAM role ARN
        Handler='lambda_function.handler',
        Code=dict(ZipFile=zipped_code),
        Timeout=30
    )
    return response['FunctionArn']

lambda_arn = create_lambda_function()
print(f"Funci√≥n Lambda creada con ARN: {lambda_arn}")

## Contenedores (ECS en AWS)

Los contenedores son unidades est√°ndar de software que empaquetan el c√≥digo y todas sus dependencias.
AWS ECS (Elastic Container Service) es un servicio de orquestaci√≥n de contenedores.

Caracter√≠sticas:
- Ligeros y portables
- Aislamiento de aplicaciones
- R√°pido despliegue y escalado
- Eficiente uso de recursos
- Ideal para microservicios

### Ejemplo: Crear un cluster ECS

In [None]:
def create_ecs_cluster(cluster_name):
    response = ecs.create_cluster(clusterName=cluster_name)
    return response['cluster']['clusterArn']

cluster_arn = create_ecs_cluster('MiClusterECS')
print(f"Cluster ECS creado con ARN: {cluster_arn}")

## Comparaci√≥n de servicios

1. IAM:
   - Gesti√≥n centralizada de accesos
   - Crucial para la seguridad en la nube
   - Se integra con todos los servicios AWS
   - Sin costo adicional

2. M√°quinas Virtuales (EC2):
   - Mayor control y flexibilidad
   - Requiere m√°s gesti√≥n
   - Mejor para aplicaciones que necesitan el sistema operativo completo
   - Costo: Puede ser m√°s alto para cargas de trabajo intermitentes

3. Serverless (Lambda):
   - Sin gesti√≥n de servidores
   - Escalado autom√°tico
   - Ideal para microservicios y funciones espec√≠ficas
   - Costo: Muy eficiente para cargas de trabajo variables

4. Contenedores (ECS):
   - Portabilidad y consistencia
   - Menos sobrecarga que las VMs
   - Bueno para microservicios y aplicaciones distribuidas
   - Costo: Equilibrio entre VMs y serverless

La elecci√≥n depende de los requisitos espec√≠ficos de tu aplicaci√≥n, 
la experiencia de tu equipo y las necesidades de gesti√≥n y escalabilidad.