Ejemplos de políticas basadas en la identidad de App Runner - AWS App Runner
Prácticas recomendadas sobre las políticasPolíticas de usuarioControlar el acceso a los servicios de App Runner en función de las etiquetas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos de políticas basadas en la identidad de App Runner

De forma predeterminada, IAM los usuarios y los roles no tienen permiso para crear o modificar AWS App Runner recursos. Tampoco pueden realizar tareas con AWS Management Console AWS CLI, o AWS API. IAMEl administrador debe crear IAM políticas que concedan a los usuarios y roles permisos para realizar API operaciones específicas en los recursos específicos que necesitan. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.

Para obtener información sobre cómo crear una política IAM basada en la identidad utilizando estos documentos de JSON política de ejemplo, consulte Creación de políticas en la JSON pestaña de la Guía del IAMusuario.

Para ver otros temas de seguridad de App Runner, consulte. Seguridad en App Runner

Prácticas recomendadas sobre las políticas

Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar los recursos de App Runner de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:

  • Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de trabajo en la Guía de usuario de IAM.

  • Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se puedes llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte Políticas y permisos en IAM en la Guía de usuario de IAM.

  • Use condiciones en las políticas de IAM para restringir aún más el acceso: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse medianteSSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, como AWS CloudFormation. Para obtener más información, consulte los elementos IAM JSON de la política: Condición en la Guía del IAM usuario.

  • Utilice IAM Access Analyzer para validar sus IAM políticas y garantizar permisos seguros y funcionales: IAM Access Analyzer valida las políticas nuevas y existentes para que se ajusten al lenguaje de las políticas (JSON) y IAM a las IAM mejores prácticas. IAM Access Analyzer proporciona más de 100 comprobaciones de políticas y recomendaciones prácticas para ayudarlo a crear políticas seguras y funcionales. Para obtener más información, consulte Validar políticas con IAM Access Analyzer en la Guía del IAM usuario.

  • Requerir autenticación multifactorial (MFA): si se encuentra en una situación en la que se requieren IAM usuarios o un usuario raíz Cuenta de AWS, actívela MFA para aumentar la seguridad. Para solicitarlo MFA cuando se convoque a API las operaciones, añada MFA condiciones a sus políticas. Para obtener más información, consulte APIAcceso seguro con MFA en la Guía del IAM usuario.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte las Prácticas recomendadas de seguridad en IAM en la Guía de usuario de IAM.

Políticas de usuario

Para acceder a la consola de App Runner, IAM los usuarios deben tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de App Runner que tiene en su cuenta Cuenta de AWS. Si creas una política basada en la identidad que sea más restrictiva que los permisos mínimos requeridos, la consola no funcionará según lo previsto para los usuarios con esa política.

App Runner proporciona dos políticas administradas que puedes adjuntar a tus usuarios.

  • AWSAppRunnerReadOnlyAccess— Otorga permisos para enumerar y ver detalles sobre los recursos de App Runner.

  • AWSAppRunnerFullAccess— Otorga permisos a todas las acciones de App Runner.

Para garantizar que los usuarios puedan usar la consola de App Runner, adjunta, como mínimo, la política AWSAppRunnerReadOnlyAccess administrada a los usuarios. En su lugar, puede adjuntar la política AWSAppRunnerFullAccess administrada o agregar permisos adicionales específicos para permitir a los usuarios crear, modificar y eliminar recursos. Para obtener más información, consulte Añadir permisos a un usuario en la Guía del IAM usuario.

No es necesario conceder permisos mínimos de consola a los usuarios que realicen llamadas únicamente al AWS CLI o al AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la API operación que desee permitir que realicen los usuarios.

Los siguientes ejemplos muestran las políticas de usuario personalizadas. Puede utilizarlos como puntos de partida para definir sus propias políticas de usuario personalizadas. Copie el ejemplo o elimine acciones, reduzca los recursos y añada condiciones.

Ejemplo: política de usuario de administración de consolas y conexiones

Este ejemplo de política permite el acceso a la consola y permite la creación y administración de conexiones. No permite la creación ni la administración del servicio App Runner. Se puede adjuntar a un usuario cuya función sea administrar el acceso del servicio App Runner a los activos de código fuente.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "apprunner:List*",
        "apprunner:Describe*",
        "apprunner:CreateConnection",
        "apprunner:DeleteConnection"
      ],
      "Resource": "*"
    }
  ]
}

Ejemplo: políticas de usuario que usan claves de condición

Los ejemplos de esta sección muestran los permisos condicionales que dependen de algunas propiedades de los recursos o parámetros de acción.

Este ejemplo de política permite crear un servicio de App Runner, pero deniega el uso de una conexión denominadaprod.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateAppRunnerServiceWithNonProdConnections",
      "Effect": "Allow",
      "Action": "apprunner:CreateService",
      "Resource": "*",
      "Condition": {
        "ArnNotLike": {
          "apprunner:ConnectionArn": "arn:aws:apprunner:*:*:connection/prod/*"
        }
      }
    }
  ]
}

Esta política de ejemplo permite actualizar un servicio de App Runner nombrado preprod únicamente con una configuración de autoescalado denominadapreprod.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUpdatePreProdAppRunnerServiceWithPreProdASConfig",
      "Effect": "Allow",
      "Action": "apprunner:UpdateService",
      "Resource": "arn:aws:apprunner:*:*:service/preprod/*",
      "Condition": {
        "ArnLike": {
          "apprunner:AutoScalingConfigurationArn": "arn:aws:apprunner:*:*:autoscalingconfiguration/preprod/*"
        }
      }
    }
  ]
}

Controlar el acceso a los servicios de App Runner en función de las etiquetas

Puedes usar las condiciones de tu política basada en la identidad para controlar el acceso a los recursos de App Runner en función de las etiquetas. En este ejemplo, se muestra cómo se puede crear una política que permita eliminar un servicio de App Runner. Sin embargo, los permisos solo se conceden si la etiqueta de servicio Owner tiene el valor del nombre de usuario de dicho usuario. Esta política también proporciona los permisos necesarios para llevar a cabo esta acción en la consola.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ListServicesInConsole",
      "Effect": "Allow",
      "Action": "apprunner:ListServices",
      "Resource": "*"
    },
    {
      "Sid": "DeleteServiceIfOwner",
      "Effect": "Allow",
      "Action": "apprunner:DeleteService",
      "Resource": "arn:aws:apprunner:*:*:service/*",
      "Condition": {
        "StringEquals": {"apprunner:ResourceTag/Owner": "${aws:username}"}
      }
    }
  ]
}

También puede adjuntar esta política al usuario de IAM en su cuenta. Si un usuario llamado richard-roe intenta eliminar un servicio de App Runner, el servicio debe estar etiquetado Owner=richard-roe oowner=richard-roe. De lo contrario, se le deniega el acceso. La clave de la etiqueta de condición Owner coincide con los nombres de las claves de condición Owner y owner porque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte Elementos IAM JSON de política: condición en la Guía del IAM usuario.