Guia de Configuracion de AWS

Esta guia lo acompana paso a paso en la creacion de un usuario IAM de solo lectura para CLARITY y su incorporacion a su instancia.

Requisitos Previos

• Una cuenta de AWS con acceso administrativo a IAM
• AWS CLI instalado o acceso a la Consola de AWS
• AWS Cost Explorer habilitado en su cuenta

Opcion 1: AWS CLI (Recomendado)

Cree un usuario IAM dedicado con politicas de solo lectura administradas por AWS:

# Crear un usuario IAM dedicado para CLARITY
aws iam create-user --user-name clarity-finops

# Adjuntar acceso de solo lectura (cubre todo el descubrimiento de recursos, metricas, etc.)
aws iam attach-user-policy --user-name clarity-finops \
  --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess

# Adjuntar acceso de lectura de facturacion (Cost Explorer, presupuestos, anomalias)
aws iam attach-user-policy --user-name clarity-finops \
  --policy-arn arn:aws:iam::aws:policy/AWSBillingReadOnlyAccess

# Crear claves de acceso (guarde la salida — el secreto se muestra solo una vez)
aws iam create-access-key --user-name clarity-finops

Guarde el AccessKeyId y SecretAccessKey de la salida. Necesitara ambos al agregar la cuenta a CLARITY.

Por que ReadOnlyAccess?

ReadOnlyAccess es una politica administrada por AWS que otorga acceso de solo lectura a todos los servicios de AWS. CLARITY utiliza este acceso amplio para descubrir todos los recursos que pueden generar costos — instancias EC2, bases de datos RDS, buckets S3, volumenes EBS, snapshots, balanceadores de carga, funciones Lambda, clusters ECS/EKS, ElastiCache, repositorios ECR, zonas Route53, NAT gateways y mas. Esto garantiza visibilidad completa de recursos inactivos, sobredimensionados y subutilizados en su cuenta.

Opcion 2: Plantilla de CloudFormation

Despliegue el usuario IAM con politicas administradas como un stack de CloudFormation:

AWSTemplateFormatVersion: '2010-09-09'
Description: CLARITY FinOps — Usuario IAM de solo lectura para gestion de costos

Resources:
  ClarityFinOpsUser:
    Type: AWS::IAM::User
    Properties:
      UserName: clarity-finops
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/ReadOnlyAccess
        - arn:aws:iam::aws:policy/AWSBillingReadOnlyAccess
      Tags:
        - Key: Purpose
          Value: CLARITY FinOps read-only access

  ClarityAccessKey:
    Type: AWS::IAM::AccessKey
    Properties:
      UserName: !Ref ClarityFinOpsUser

Outputs:
  AccessKeyId:
    Description: Access Key ID para CLARITY
    Value: !Ref ClarityAccessKey
  SecretAccessKey:
    Description: Secret Access Key para CLARITY (obtener desde la consola de CloudFormation)
    Value: !GetAtt ClarityAccessKey.SecretAccessKey

Despliegue el stack:

aws cloudformation deploy \
  --template-file clarity-iam.yaml \
  --stack-name clarity-finops-iam \
  --capabilities CAPABILITY_NAMED_IAM

# Obtener las claves de acceso desde las salidas del stack
aws cloudformation describe-stacks \
  --stack-name clarity-finops-iam \
  --query "Stacks[0].Outputs"

Agregar a CLARITY

1. Inicie sesion en CLARITY y navegue a Provider Setup (icono de engranaje en la barra lateral)
2. Haga clic en Add Account
3. Seleccione AWS como proveedor
4. Ingrese lo siguiente:
   • Access Key ID — de la salida de creacion del usuario IAM
   • Secret Access Key — de la salida de creacion del usuario IAM
   • Account Name (opcional) — una etiqueta descriptiva como "Produccion" o "Dev/Staging"
5. Haga clic en Save

CLARITY valida las credenciales de inmediato y comienza la sincronizacion inicial. Vera un indicador de progreso mientras se obtienen los recursos, costos y metricas de su cuenta.

Verificacion

Despues de que se complete la sincronizacion inicial (generalmente 2-5 minutos), verifique que los datos esten fluyendo:

• Dashboard — Deberia aparecer el desglose de costos por servicio y region
• Resources — Sus instancias EC2, bases de datos RDS, buckets S3 y otros recursos deberian estar listados con estimaciones de costos
• Insights — Recomendaciones de optimizacion para recursos inactivos o subutilizados
• Forecast — Proyecciones de costos basadas en su historial de facturacion

Si el dashboard muestra datos de costos pero la lista de recursos esta vacia, es posible que al usuario IAM le falten algunos permisos Describe*. Revise los registros de sincronizacion para errores especificos.

AWS Organizations

Si su cuenta es una cuenta de administracion (pagadora) en una AWS Organization, CLARITY descubre automaticamente todas las cuentas miembro y reporta costos a nivel organizacional. Los permisos organizations:DescribeOrganization y organizations:ListAccounts (incluidos en ReadOnlyAccess) habilitan esta funcionalidad. Las cuentas miembro apareceran como cuentas vinculadas en la pagina de Organizations.

Activacion de Cost Explorer

AWS Cost Explorer debe estar habilitado en su cuenta antes de que CLARITY pueda recuperar datos de facturacion. Si nunca ha utilizado Cost Explorer:

1. Vaya a la consola de AWS Cost Explorer
2. Haga clic en Enable Cost Explorer
3. Espere hasta 24 horas para que los datos historicos esten disponibles

Las llamadas a la API de Cost Explorer se cobran a $0.01 por solicitud. CLARITY minimiza el uso de la API con cache inteligente y un intervalo de sincronizacion predeterminado de 12 horas, lo que resulta en aproximadamente $1-2/mes en cargos de Cost Explorer.

Limpieza

Para eliminar el acceso de CLARITY de su cuenta de AWS:

# Eliminar la clave de acceso
aws iam delete-access-key --user-name clarity-finops \
  --access-key-id YOUR_ACCESS_KEY_ID

# Desadjuntar politicas
aws iam detach-user-policy --user-name clarity-finops \
  --policy-arn arn:aws:iam::aws:policy/ReadOnlyAccess
aws iam detach-user-policy --user-name clarity-finops \
  --policy-arn arn:aws:iam::aws:policy/AWSBillingReadOnlyAccess

# Eliminar el usuario
aws iam delete-user --user-name clarity-finops

O si utilizo la plantilla de CloudFormation:

aws cloudformation delete-stack --stack-name clarity-finops-iam