Cómo limité el acceso SSH a una sola IP en AWS — mi primera implementación de Least Privilege

Jann Carlo Martinez — Fri, 01 May 2026 05:10:49 +0000

El problema que nadie menciona en los tutoriales

La mayoría de guías de AWS te dicen: "abre el puerto 22 para conectarte por SSH" y configuran el acceso desde 0.0.0.0/0. Eso significa que cualquier persona en internet puede intentar conectarse a tu servidor.

Es un desastre de seguridad. Y es el punto de partida de este laboratorio.

¿Qué construí?

Un Security Group en AWS configurado bajo el principio de Least Privilege: conceder solo los permisos mínimos necesarios. En este caso, acceso SSH restringido exclusivamente a mi IP pública.

Servicios utilizados:

VPC por defecto de AWS
EC2 Security Groups
AWS CLI

Conceptos clave antes de arrancar

Security Group: es el firewall virtual de AWS. Controla qué tráfico puede entrar y salir de tus recursos.

CIDR /32: notación que representa una única dirección IP. Si pones 203.0.113.10/32, solo esa IP específica tiene acceso. No el vecino. No un atacante con tu misma red.

Least Privilege: principio fundamental de seguridad. No des más permisos de los necesarios. Si alguien solo necesita leer, no le des permisos de escritura. Si solo tu IP necesita acceso SSH, no abras el puerto al mundo.

Paso 1: Obtener tu IP pública

curl https://checkip.amazonaws.com

Guarda ese número. Lo vas a usar en el Paso 4.

Paso 2: Obtener el ID de tu VPC por defecto

AWS crea una VPC por defecto en cada región lista para usar. La consultamos así:

aws ec2 describe-vpcs \
  --filters "Name=isDefault,Values=true" \
  --query 'Vpcs[0].VpcId' \
  --output text

Resultado esperado: algo como vpc-0a1b2c3d4e5f6g7h8

Paso 3: Crear el Security Group

SECURITY_GROUP_ID=$(aws ec2 create-security-group \
  --group-name "proyecto-seguridad" \
  --description "Security group - acceso restringido a IP específica" \
  --vpc-id $(aws ec2 describe-vpcs \
    --filters "Name=isDefault,Values=true" \
    --query 'Vpcs[0].VpcId' \
    --output text) \
  --query 'GroupId' \
  --output text)

echo $SECURITY_GROUP_ID

La variable $SECURITY_GROUP_ID almacena el ID para los siguientes comandos. Resultado esperado: sg-0123456789abcdef0

Paso 4: Crear la regla de acceso — solo desde tu IP

⚠️ Reemplaza 203.0.113.10 con la IP que obtuviste en el Paso 1.

aws ec2 authorize-security-group-ingress \
  --group-id $SECURITY_GROUP_ID \
  --protocol tcp \
  --port 22 \
  --cidr 203.0.113.10/32

El /32 es lo que hace toda la diferencia. Sin él, estarías abriendo un rango de IPs. Con él, es solo la tuya.

Paso 5: Verificar que todo quedó bien

aws ec2 describe-security-groups \
  --group-ids $SECURITY_GROUP_ID \
  --query 'SecurityGroups[0].IpPermissions' \
  --output table

Deberías ver una tabla con el puerto 22, protocolo TCP, y tu IP con /32.

Limpieza

Siempre elimina los recursos cuando termines para evitar cargos inesperados:

aws ec2 delete-security-group --group-id $SECURITY_GROUP_ID

Lo que aprendí

El mayor aprendizaje no fue el comando en sí, sino entender por qué el /32 importa. La diferencia entre 0.0.0.0/0 y tu-ip/32 es la diferencia entre dejar la puerta abierta a internet y entregarle una llave solo a quien la necesita.

Eso es Least Privilege en la práctica. No es un concepto abstracto de libro, es una decisión de un comando.

Este es el primer laboratorio de mi Road to DevOps. Cada semana voy a documentar lo que aprendo — sin filtros, con los errores incluidos.

DEV Community: Jann Carlo Martinez