Introducción
Ahora que ya sabe cómo aprovisionar y administrar recursos de nube, el siguiente paso es aprender a administrar quién tiene acceso a esos recursos. En primer lugar, es necesario poder identificar a cada usuario que accede a los recursos de nube de una organización. En segundo lugar, los administradores deben tener la capacidad de definir permisos para que el sistema pueda decidir si permite el acceso. "Acceso" puede significar modificar una máquina virtual, eliminarla o simplemente determinar si existe.
El objetivo de seguridad es permitir que los usuarios accedan a aquellos recursos a los que necesitan acceder para realizar las funciones de trabajo que tienen asignadas y nada más. Es posible que un administrador de bases de datos necesite permiso para agregar una tabla a una base de datos de su propiedad, pero probablemente no se le deba permitir modificar (ni eliminar) la máquina virtual que hospeda la base de datos o la red de la que forma parte esa máquina virtual.
El concepto de identidad digital (asignación de una identidad como "Bob" o "Alice" a un usuario que accede a un recurso de nube o inicia sesión en un sitio web) tiene varias facetas y hay muchas soluciones diferentes. La solución "correcta" depende del escenario. Por ejemplo, un sitio web de acceso público que requiere que los usuarios inicien sesión para acceder a determinadas páginas, como las que contienen artículos de pago, necesita un sistema de identidades que permita a los usuarios ajenos a la organización crear cuentas e iniciar sesión. Por el contrario, los usuarios que acceden a los recursos de nube de una organización deben identificarse mediante las cuentas organizativas que les ha asignado el personal de TI y el acceso externo debe controlarse cuidadosamente.
En este módulo vamos a examinar los conceptos básicos relacionados con la identidad en el plano digital. Vamos a hablar de los tipos de entidades a los que se pueden asignar identidades, incluidos usuarios, grupos y aplicaciones. Además, vamos a aprender técnicas para extender la identidad de una persona de modo que, por ejemplo, Alice pueda usar sus credenciales de la organización para acceder a recursos locales y recursos de nube.
Por último, vamos a presentar el concepto de control de acceso basado en rol (RBAC) y a ver cómo lo usan los proveedores de servicios en la nube. RBAC permite a los clientes controlar el acceso a los recursos que aprovisionan. Es el mecanismo principal que usan los administradores de la nube para aplicar permisos a recursos de nube y definir lo que pueden y no pueden hacer los usuarios con recursos individuales o grupos de recursos. Además, va a tener un papel fundamental en su futuro como administrador de la nube.