Acabas de poner tu tarjeta de crédito, has verificado tu número de teléfono y ¡listo!, tienes acceso a la consola de AWS. La tentación de ir directo a lanzar una instancia EC2 o un bucket de S3 es gigante.
Pero detente un segundo. Un mal inicio en AWS puede salir muy caro. He visto desde desarrolladores que pierden el acceso a su cuenta por no tener MFA, hasta startups que quiebran antes de empezar porque un bot encontró sus Access Keys y minó criptomonedas por valor de $50,000 en un fin de semana.
Si quieres dormir tranquilo mientras construyes en la nube, aquí están los 5 pasos que debes seguir (y que pronto discutiremos a fondo en el podcast).
1. La Cuenta Root: El "Dios" que debe dormir
Al crear tu cuenta, entras con el email y contraseña principales. Ese es el Root User. Tiene poder absoluto sobre la facturación, los datos y la existencia misma de la cuenta.
- No la uses para trabajar: Una vez configurada, guárdala bajo siete llaves.
- Activa MFA (Multi-Factor Authentication): Ya sea una app (Authy/Google Authenticator) o un hardware key. Si no tienes MFA en Root, no tienes seguridad.
- Elimina Access Keys del Root: Si ves que el usuario Root tiene llaves de acceso programático, bórralas inmediatamente. Nadie (ni tú) debería usarlas.
2. IAM Identity Center: La llave moderna
Antes creábamos "Usuarios IAM" para todo. En 2026, eso es legado. Lo correcto es usar AWS IAM Identity Center (antes llamado AWS SSO).
Configúralo para crear un portal de acceso (URL personalizada). Desde ahí, te asignarás permisos de Administrador a tu usuario personal sin necesidad de contraseñas permanentes en la cuenta. Es más seguro, más fácil de gestionar y te permite manejar múltiples cuentas desde un solo lugar.
aws configure sso.
3. El Escudo Financiero: Alertas y Budgets
AWS es un "paga por lo que usas", pero si olvidas una instancia encendida o te atacan, el uso puede dispararse.
Ve a AWS Budgets y crea un presupuesto simple. Ponle un límite, aunque sea de $1. Configura para que te envíe un email cuando el gasto real (o incluso el proyectado) alcance el 80% de ese límite. Saber que vas a gastar más de lo planeado a mitad de mes te da tiempo de reaccionar.
4. CloudTrail: La caja negra de tu avión
¿Quién borró esa base de datos? ¿Desde qué IP se intentó entrar al Root? AWS CloudTrail registra cada clic, cada comando de CLI y cada llamada a la API.
Viene activado por defecto para los últimos 90 días, pero mi recomendación es crear un "Trail" que guarde los logs en un bucket de S3 para siempre (o al menos por un año). Es tu única defensa forense si algo sale mal.
5. Region Lock: No necesitas el mundo entero
Si vives en Latinoamérica y trabajas en Virginia (us-east-1), probablemente no necesites tener servicios activos en Tokyo (ap-northeast-1) o Frankfurt.
Muchos atacantes lanzan recursos en regiones que "no miras" para pasar desapercibidos. Puedes usar Service Control Policies (SCPs) si usas Organizations, o simplemente desactivar manualmente las regiones que sabes que no vas a usar para reducir la superficie de ataque.
Conclusión
Configurar AWS bien desde el primer segundo te quita una carga mental enorme. La nube no es peligrosa si sabes poner las reglas del juego antes de empezar a jugar.
2. IAM Identity Center configurado.
3. Budget de $1 creado.
4. CloudTrail guardando en S3.
¿Has tenido algún susto con la facturación de AWS? Cuéntamelo en los comentarios o prepárate para compartir tu historia cuando lancemos el podcast.