¿Usas varias nubes? Sin un IAM sólido, ya estás en riesgo

🌐 IAM multi-cloud

Recientemente, varios de los principales proveedores de nube pública registraron interrupciones importantes:

• GCP: 12 de junio de 2025.
• AWS: 20 de octubre de 2025.
• Azure: 29 de octubre de 2025.

Estos incidentes han llevado a muchas empresas a considerar una estrategia multi-cloud para reducir el riesgo de quedarse fuera de línea cuando un proveedor sufre una caída de servicio.

Entonces me surgió la siguiente pregunta: si una organización utiliza varias nubes a la vez (por ejemplo, AWS + Azure + Google Cloud), ¿cómo controla quién accede, de qué forma accede y qué puede hacer en cada una de ellas?

A esto se le conoce como Identity and Access Management (IAM), o Gestión de Identidad y Acceso.

Vamos paso por paso.

1. ¿Qué es una IDENTIDAD?

Una identidad es cualquier cosa que puede iniciar sesión en un sistema.

Por ejemplo:

• Tú, como estudiante.
• Un profesor.
• Un robot de software / servicio (por ejemplo, un script que sube archivos).

Ejemplo:
Piensa en la identidad como tu “usuario” en la universidad.
Tú tienes un código de alumno que te identifica frente al sistema.

2. ¿Qué es AUTENTICACIÓN?

Es demostrar que eres tú. Formas comunes:

• Contraseña
• Huella
• Token enviado por correo (2FA)

Ejemplo:
Cuando ingresas a tu cuenta de Google, pones:

1. tu correo → identidad
2. tu clave → autenticación

3. ¿Qué es AUTORIZACIÓN?

Es qué puedes hacer una vez que entraste.

Por ejemplo:

• “Solo leer archivos”
• “Leer y escribir”
• “Administrar todo”

Ejemplo:
En la universidad:

• Los alumnos pueden ver notas.
• Los profesores pueden subir notas.
• Coordinación puede cambiar las notas.

4. ¿Qué es IAM?

IAM = Identity + Authentication + Authorization.

Sirve para:

• Crear usuarios
• Dar permisos
• Quitar permisos
• Registrar qué hizo cada usuario

Ejemplo:
El sistema académico crea tu usuario (identidad), te da clave (autenticación) y decide qué puedes ver (autorización).

5. ¿Qué pasa cuando hay VARIAS nubes?

Imagina que una empresa usa:

• AWS para almacenar archivos
• Azure para usuarios de oficina
• Google Cloud para análisis de datos

Cada nube tiene su propio sistema IAM.
Entonces, se vuelve complicado manejar muchos usuarios y permisos.

Ejemplo:
Es como si tu universidad tuviera tres portales separados, cada uno con su usuario y su contraseña. Confuso y poco práctico.

6. ¿Cómo funciona el IAM en cada nube?

 ┌──────────────────┬──────────────────────┬─────────────────────┐ │ AWS │ Azure │ GCP │ └──────────────────┴──────────────────────┴─────────────────────┘ │ │ │ Roles + Policies Azure AD + RBAC IAM Roles 

🟦 AWS

Usa:

• AWS IAM
• Roles → permisos temporales
• Policies (políticas) → reglas que dicen qué puedes hacer

Ejemplo:

• Un rol que permite leer un bucket S3
• Otro rol que permite lanzar máquinas EC2

🟩 Azure

Usa:

• Azure Active Directory (Azure AD)
• Roles RBAC (Role-Based Access Control)

Ejemplo:

• Rol “Reader” solo ve datos
• Rol “Contributor” puede modificar

🟥 Google Cloud

Usa:

• Google Cloud IAM
• IAM Roles (básicos, predefinidos y personalizados)

Ejemplo:

• Owner → lectura, escritura y administración
• Editor → lectura y escritura
• Viewer → lectura

Terminología de gestión de identidades y accesos por cada nube

7. ¿Y cómo hacemos para NO tener tres cuentas distintas?

Aquí entra un concepto importante, la federación de identidades, esto permite que un usuario se autentique una sola vez en un sistema y pueda ingresar a las tres nubes.

La federación usa protocolos como:

• SAML 2.0
• OIDC (OpenID Connect)
• OAuth 2.0

Estos protocolos permiten que un sistema diga:
"Este usuario es auténtico, puedes confiar en él."

 ┌──────────────────────────────────────────────────┐ │ FEDERACIÓN = Un solo IdP para varias nubes │ └──────────────────────────────────────────────────┘ │ Permite usar 1 identidad para: AWS + Azure + GCP │ Protocolos: SAML, OAuth2, OIDC 

Ejemplo:
Te logeas con tu cuenta universitaria y automáticamente puedes:

• usar Teams (Microsoft),
• usar Google Drive (Google),
• usar Moodle (otro proveedor).

"Eso es federación".

8. ¿Qué es el SSO?

SSO = Single Sign-On = "Inicia sesión una sola vez".

Ejemplo:
Cuando entras a Gmail y luego, sin volver a poner tu clave, puedes entrar a YouTube.

"Eso es SSO".

Cada nube tiene su servicio SSO:

• AWS → IAM Identity Center
• Azure → Azure AD SSO
• GCP → Workload Identity Federation

SSO = Iniciar sesión una vez │ Acceder a: - AWS (IAM Identity Center) - Azure AD SSO - GCP (Workload Identity Federation) 

9. ¿Qué recomiendan los expertos?

En multi nube, se destaca tres reglas de oro:

• Todo acceso debe estar autenticado
  → Cada acción debe tener un usuario responsable.

• Menor privilegio
  → Dar solo lo necesario.
  (Si solo necesita leer, no le des permisos de administrador).

• Auditoría continua
  → Registrar quién hizo qué.

Ejemplo:
Cuando un alumno entra al sistema académico, queda registrado. Igual con los profesores.

Ejemplo final para entenderlo completo

Imagina una empresa “TechSchool” con tres nubes:

Sin IAM unificado:

• Ana (desarrolladora) tiene 3 cuentas:
  • Una en AWS
  • Una en Azure
  • Una en GCP
• Tiene 3 contraseñas
• El administrador debe actualizar permisos en 3 lugares.

Con IAM con federación + SSO:

• Ana tiene una sola cuenta (por ejemplo, en Azure).
• Inicia sesión una vez.
• Puede entrar a AWS, Azure y GCP.
• Sus permisos están centralizados.

Esto facilita la vida a todos.

🎓¿Qué debería recordar?

✔ Identidad = quién eres
✔ Autenticación = demostrarlo
✔ Autorización = qué puedes hacer
✔ IAM = gestión total de accesos
✔ Cada nube usa su propio sistema de roles
✔ Federación = un solo usuario para varias nubes
✔ SSO = iniciar sesión una sola vez
✔ Menor privilegio y auditoría = buenas prácticas