optimizador de costos cloud solo lectura
La mayoría de las herramientas FinOps piden service-account keys de larga duración, access keys hardcodeadas o IAM roles con scope de escritura. Lumicost no pide nada de eso. Usamos Workload Identity Federation en GCP, IAM Role + external-id (sin static keys) en AWS y App Registration con scopes de lectura en Azure — cada credencial es de corta duración, revocable desde tu consola y limitada a la data exacta que necesitamos para calcular ahorros. Cero secrets persistidos, cero paths de escritura hacia tu entorno.
InfoSec es el deal-killer de las herramientas de optimización de costos. El CFO quiere los ahorros; el CISO no firma porque el vendor pide credenciales de larga duración con scopes arbitrarios. Lumicost se construyó read-only-first: nos conectamos con patrones de identity-federation que cada nube ya trustea, con external IDs auditados por tenant y el set mínimo posible de permisos. Las mismas credenciales potencian análisis de costos, detección de anomalías, Kubernetes allocation, migration scoring y evidencia SOC 2 / HIPAA / ISO 27001 / FedRAMP — InfoSec revisa una conexión, no diez.
Nunca aceptamos JSON keys descargables. Creás un Workload Identity Pool + OIDC Provider en tu proyecto, attachás la service account impersonada, y federamos vía tokens de corta duración. El módulo Terraform completo está publicado. Scopes requeridos: roles/viewer + roles/bigquery.dataViewer (para billing export). Revocás al instante eliminando el binding WIF.
IAM Role estándar asumido vía STS con un external-id por tenant (defiende contra ataques tipo confused-deputy). La trust policy bloquea AssumeRole al account ID de Lumicost + tu external-id único. Permisos requeridos: ce:Get*, cur:Describe*, ec2:Describe*, eks:Describe*, rds:Describe*, s3:Get*/List* (sin Object access), cloudwatch:GetMetricData. La policy IAM completa está publicada textualmente.
App Registration con permisos delegados a las APIs de Cost Management + Reservations + Resources en roles read-only. El client secret se intercambia por bearer tokens de corta duración — no lo persistimos una vez federado. Compatible con conditional access policies y los workflows PIM / approval de tu tenant.
Físicamente no llamamos APIs de mutación. El código no tiene `eks:Update*`, no tiene `ec2:Modify*`, no tiene cliente kubectl, no tiene Terraform apply. Las recomendaciones se exponen; la ejecución queda en tu pipeline IaC. La telemetría de conexión se loggea de nuestro lado y se exporta vía SIEM para que tu equipo vea cada llamada API que hacemos.
Cada cloud connection es independiente y revocable desde tu propia consola — eliminando el binding WIF, el IAM role o el App Registration, Lumicost pierde acceso inmediatamente. Multi-account / multi-project / multi-subscription están soportados con conexiones separadas, así que podés pilotear con una sola cuenta no-prod antes de extender a toda la org.
No. Las credenciales estáticas son un 'no' duro en el flujo de conexión de Lumicost. En GCP creás un Workload Identity Federation pool y federamos a una service account vía tokens de corta duración. En AWS creás un IAM Role y lo asumimos vía STS con un external-id por tenant. En Azure creás un App Registration y intercambiamos el client secret por bearer tokens de corta duración. Nunca vemos — ni almacenamos — un archivo de keys descargable.
Dos capas. (1) Las policies IAM que te pedimos attachás son read-only por construcción y las publicamos textualmente — copialas en tu consola y vas a ver cero acciones `Update`, `Modify`, `Delete`, `Put` o `Create`. (2) Aunque un permiso accidentalmente permitiera mutación, nuestro código no contiene llamadas SDK a APIs de mutación. Podés auditar ambas superficies de forma independiente.
Sí — y ni siquiera requiere acción en la UI de Lumicost. En GCP, eliminá el binding de Workload Identity. En AWS, despegá la trust policy de Lumicost del IAM Role (o eliminá el role). En Azure, deshabilitá el App Registration. Lumicost pierde acceso en el próximo token refresh, sin ticket de soporte. También exponemos acciones 'Disconnect' en la UI de Settings por conveniencia.
Sí. Las mismas credenciales read-only potencian el análisis de costos, la detección de anomalías, el allocation de Kubernetes, el cross-cloud migration analyzer y la recolección de evidencia SOC 2 / HIPAA / ISO 27001 / FedRAMP Low. InfoSec revisa un solo modelo de conexión y obtiene todo el scope de FinOps + compliance + migration — sin abrir 10 tickets de security review separados.
Conecta credenciales solo lectura y obtén tus primeros insights en 24 horas.