Les contrasenyes, per si soles, no són suficients per protegir quelcom tan valuós com el teu compte d’AWS. En aquest subcapítol veurem dos mecanismes que eleven enormement la seguretat: l’autenticació multifactor (MFA) i les credencials temporals (STS). Són la diferència entre un compte vulnerable i una de ben protegida.

MFA significa Multi-Factor Authentication (Autenticació Multifactor). La idea: per entrar, no n’hi ha prou amb saber alguna cosa (la contrasenya); també cal tenir alguna cosa (un codi que canvia cada pocs segons al teu mòbil).

Els «factors» d’autenticació són de tres tipus:

• Alguna cosa que saps: una contrasenya.
• Alguna cosa que tens: el teu mòbil amb una app de codis, o una clau física.
• Alguna cosa que ets: la teva empremta, la teva cara (biometria).

MFA combina almenys dos d’aquests factors. El més comú és contrasenya (saps) + codi del mòbil (tens).

Analogia: És com un caixer automàtic. Per treure diners necessites la targeta (alguna cosa que tens) i el PIN (alguna cosa que saps). Amb només una de les dues coses, no pots. Si algú et roba la targeta però no sap el PIN, no pot treure diners.

El gran avantatge: encara que un atacant et robi la contrasenya, no pot entrar sense el segon factor, que està físicament al teu mòbil.

Exemple real: Un atacant aconsegueix la teva contrasenya d’AWS mitjançant un correu de phishing. Intenta entrar… però AWS li demana el codi MFA, que només apareix al teu mòbil. L’atacant es queda fora. La contrasenya robada, per si sola, no li serveix de res.

Segons estudis de seguretat, activar MFA bloqueja la gran majoria dels atacs automatitzats de robatori de comptes. És una de les mesures de seguretat més efectives i barates que existeixen.

• Pots utilitzar una app d’autenticació (Google Authenticator, Authy, Microsoft Authenticator…) que genera codis de 6 dígits que canvien cada 30 segons.
• O una clau física de seguretat (com una YubiKey) per a màxima protecció.

Regla d’or absoluta: Activa MFA a l’usuari root SEMPRE, sense excepció. El root té poder total sobre el teu compte; protegir-lo amb MFA és el primer que has de fer en crear un compte. I activa’l també en tots els usuaris amb permisos importants. Ho repassarem al subcapítol 7.5.

Abans de parlar de STS, entenguem el problema que resol.

Un usuari IAM pot tenir claus d’accés permanents (access keys) per programar contra AWS. El problema: aquestes claus no caduquen. Si es filtren (pujades a GitHub per error, robades d’un portàtil…), un atacant pot utilitzar-les indefinidament fins que algú se n’adoni i les desactivi.

Les credencials permanents són com una clau que mai caduca: còmoda, però perillosa si es perd.

STS significa Security Token Service. La seva funció: generar credencials temporals que caduquen automàticament després d’un temps (des d’uns minuts fins a unes hores).

Analogia: Les credencials d’STS són com la targeta d’un hotel. Et donen accés a la teva habitació, però deixa de funcionar el dia que marxes. No has de tornar-la ni preocupar-te: caduca sola. Si la perds, el dany és limitat perquè aviat deixarà de servir.

El fet que caduquin soles redueix dràsticament el risc: una credencial robada que deixa de funcionar en una hora és molt menys perillosa que una que dura per sempre.

Recordes els rols del subcapítol 7.1? Aquí hi ha la màgia: quan algú (o alguna cosa) "assumeix un rol", STS li entrega credencials temporals amb els permisos d’aquell rol.

Això és exactament el que passa quan:

• Una instància EC2 assumeix un rol per llegir S3 (STS li dóna credencials temporals per darrere).
• Una funció Lambda accedeix a una base de dades (mateix mecanisme).
• Un usuari d’un altre compte assumeix un rol per accedir als teus recursos (cross-account).

Per què això és enorme per a la seguretat: Amb rols + STS, no hi ha claus permanents guardades enlloc. La instància EC2 no té un fitxer amb claus que algú pugui robar; obté credencials temporals que es renoven i caduquen automàticament. Per això la bona pràctica del subcapítol 7.1 («utilitza rols, no claus al servidor») és tan important.

La forma professional i segura de treballar:

1. Persones: entren amb usuari + contrasenya + MFA. Per a tasques avançades, assumeixen rols (credencials temporals).
2. Serveis i aplicacions (EC2, Lambda…): utilitzen rols, mai claus permanents incrustades.
3. Claus d’accés permanents: s’eviten tant com es pugui. Si s’utilitzen, es roten amb freqüència.

Eines modernes com AWS IAM Identity Center (abans AWS SSO) faciliten donar a les persones accés amb credencials temporals i MFA de forma centralitzada, sense claus permanents.

• MFA afegeix un segon factor (un codi al teu mòbil) a més de la contrasenya: encara que robin la teva contrasenya, no entren. Activa’l sempre al root i en usuaris importants.
• Les credencials permanents (access keys) són perilloses perquè no caduquen: si es filtren, serveixen indefinidament.
• STS genera credencials temporals que caduquen soles, reduint molt el risc (com la targeta d’un hotel).
• En assumir un rol, STS entrega aquestes credencials temporals. Per això rols + STS permeten que serveis com EC2 o Lambda accedeixin a recursos sense guardar claus permanents.
• Bona pràctica: persones amb MFA, serveis amb rols, evita claus permanents.

A l’últim subcapítol d’IAM reunirem tot en una llista de bones pràctiques de seguretat que hauries d’aplicar sempre.