El problema que nadie menciona en los tutoriales
La mayoría de guías de AWS te dicen: "abre el puerto 22 para conectarte por SSH" y configuran el acceso desde 0.0.0.0/0. Eso significa que cualquier persona en internet puede intentar conectarse a tu servidor.
Es un desastre de seguridad. Y es el punto de partida de este laboratorio.
¿Qué construí?
Un Security Group en AWS configurado bajo el principio de Least Privilege: conceder solo los permisos mínimos necesarios. En este caso, acceso SSH restringido exclusivamente a mi IP pública.
Servicios utilizados:
- VPC por defecto de AWS
- EC2 Security Groups
- AWS CLI
Conceptos clave antes de arrancar
Security Group: es el firewall virtual de AWS. Controla qué tráfico puede entrar y salir de tus recursos.
CIDR /32: notación que representa una única dirección IP. Si pones 203.0.113.10/32, solo esa IP específica tiene acceso. No el vecino. No un atacante con tu misma red.
Least Privilege: principio fundamental de seguridad. No des más permisos de los necesarios. Si alguien solo necesita leer, no le des permisos de escritura. Si solo tu IP necesita acceso SSH, no abras el puerto al mundo.
Paso 1: Obtener tu IP pública
curl https://checkip.amazonaws.com
Guarda ese número. Lo vas a usar en el Paso 4.
Paso 2: Obtener el ID de tu VPC por defecto
AWS crea una VPC por defecto en cada región lista para usar. La consultamos así:
aws ec2 describe-vpcs \
--filters "Name=isDefault,Values=true" \
--query 'Vpcs[0].VpcId' \
--output text
Resultado esperado: algo como vpc-0a1b2c3d4e5f6g7h8
Paso 3: Crear el Security Group
SECURITY_GROUP_ID=$(aws ec2 create-security-group \
--group-name "proyecto-seguridad" \
--description "Security group - acceso restringido a IP específica" \
--vpc-id $(aws ec2 describe-vpcs \
--filters "Name=isDefault,Values=true" \
--query 'Vpcs[0].VpcId' \
--output text) \
--query 'GroupId' \
--output text)
echo $SECURITY_GROUP_ID
La variable $SECURITY_GROUP_ID almacena el ID para los siguientes comandos. Resultado esperado: sg-0123456789abcdef0
Paso 4: Crear la regla de acceso — solo desde tu IP
⚠️ Reemplaza 203.0.113.10 con la IP que obtuviste en el Paso 1.
aws ec2 authorize-security-group-ingress \
--group-id $SECURITY_GROUP_ID \
--protocol tcp \
--port 22 \
--cidr 203.0.113.10/32
El /32 es lo que hace toda la diferencia. Sin él, estarías abriendo un rango de IPs. Con él, es solo la tuya.
Paso 5: Verificar que todo quedó bien
aws ec2 describe-security-groups \
--group-ids $SECURITY_GROUP_ID \
--query 'SecurityGroups[0].IpPermissions' \
--output table
Deberías ver una tabla con el puerto 22, protocolo TCP, y tu IP con /32.
Limpieza
Siempre elimina los recursos cuando termines para evitar cargos inesperados:
aws ec2 delete-security-group --group-id $SECURITY_GROUP_ID
Lo que aprendí
El mayor aprendizaje no fue el comando en sí, sino entender por qué el /32 importa. La diferencia entre 0.0.0.0/0 y tu-ip/32 es la diferencia entre dejar la puerta abierta a internet y entregarle una llave solo a quien la necesita.
Eso es Least Privilege en la práctica. No es un concepto abstracto de libro, es una decisión de un comando.
Este es el primer laboratorio de mi Road to DevOps. Cada semana voy a documentar lo que aprendo — sin filtros, con los errores incluidos.
Top comments (0)