Definición de permisos de IAM personalizados con políticas administradas por el cliente - AWS Identity and Access Management

Definición de permisos de IAM personalizados con políticas administradas por el cliente

Las políticas definen los permisos para las identidades o los recursos en AWS. Puede crear políticas administradas por el cliente en IAM mediante la AWS Management Console, la AWS CLI o la API de AWS. Las políticas administradas por el cliente son políticas independientes que administra en su propia Cuenta de AWS. De este modo, puede asociar las políticas a identidades (usuarios, grupos y roles) de su cuenta de Cuenta de AWS.

Una política basada en identidades es una política asociada a una identidad en IAM. Las políticas basadas en identidades pueden incluir políticas administradas de AWS, políticas administradas por el cliente y políticas insertadas. Las políticas administradas de AWS las crea y administra AWS, y usted puede utilizarlas, pero no administrarlas. Un política insertada es aquella que se crea e inserta directamente en un usuario, rol o grupo de usuarios de IAM. Las políticas insertadas no se pueden reutilizar en otras identidades ni administrarse fuera de la identidad donde existen. Para obtener más información, consulte Adición y eliminación de permisos de identidad de IAM.

Por lo general, es mejor utilizar políticas administradas por el cliente en lugar de políticas insertadas o administradas de AWS. Las políticas administradas de AWS suelen proporcionar permisos administrativos amplios o de solo lectura. Para mayor seguridad, conceda privilegios mínimos, es decir, solo conceda los permisos necesarios a fin de realizar tareas específicas.

Al crear o editar políticas de IAM, AWS puede realizar automáticamente la validación de políticas para ayudarle a crear una política eficaz con el menor privilegio en mente. En AWS Management Console, IAM identifica errores de sintaxis JSON, mientras que IAM Access Analyzer proporciona verificaciones de políticas adicionales con recomendaciones para ayudarle a perfeccionar aún más las políticas. Para obtener más información acerca la validación de políticas, consulte Validación de la política de IAM. Para obtener más información acerca de las verificaciones de políticas de IAM Access Analyzer y las recomendaciones procesables, consulte Validación de políticas de IAM Access Analyzer.

Puede utilizar la AWS Management Console, la AWS CLI o la API de AWS para crear políticas administradas por el cliente en IAM. Para más información sobre el uso de plantillas AWS CloudFormation para agregar o actualizar políticas, consulte la referencia del tipo de recurso de AWS Identity and Access Management en la Guía del usuario de AWS CloudFormation.