Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración de identidad y acceso para AWS CloudHSM
AWS utiliza credenciales de seguridad para identificarle y para concederle acceso a sus recursos de AWS. Puede utilizar las características de AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen sus recursos de AWS de forma completa o limitada. Puede hacerlo sin compartir sus credenciales de seguridad.
De forma predeterminada, los usuarios de IAM no tienen permiso para crear, consultar ni modificar recursos de AWS. Para permitir que un usuario de IAM obtenga acceso a los recursos, como, por ejemplo, un equilibrador de carga, y realizar tareas, debe:
-
Crear una política de IAM que conceda permiso al usuario de IAM para utilizar los recursos específicos y las acciones de la API que necesita.
-
Asocie la política al usuario de IAM o al grupo al que pertenece el usuario de IAM.
Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.
Por ejemplo, puede utilizar IAM para crear usuarios y grupos en su cuenta de AWS. Un usuario de IAM puede ser una persona, un sistema o una aplicación. A continuación, puede conceder permisos a los usuarios y grupos de tal forma que puedan llevar a cabo acciones concretas en determinados recursos especificados mediante una política de IAM.
Concesión de permisos mediante políticas de IAM
Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.
Una política de IAM es un documento JSON que contiene una o varias instrucciones. Cada instrucción se estructura, tal y como se muestra en el siguiente ejemplo.
{ "Version": "2012-10-17", "Statement":[{ "Effect": "effect", "Action": "action", "Resource": "resource-arn", "Condition": { "condition": { "key":"value" } } }] }
-
Effect: el valor effect puede ser
AllowoDeny. De forma predeterminada, los usuarios de IAM no tienen permiso para utilizar los recursos y las acciones de la API, por lo que se deniegan todas las solicitudes. Si se concede un permiso explícito se anula el valor predeterminado. Una denegación explícita invalida cualquier permiso concedido. -
Action: el valor de action es la acción de la API para la que concede o deniega permisos. Para obtener más información sobre cómo especificar action, consulte Acciones de la API para AWS CloudHSM.
-
Recurso: el recurso al que afecta la acción. AWS CloudHSM no admite permisos a nivel de recurso. Debe utilizar el comodín * para especificar todos los recursos. AWS CloudHSM
-
Condition: si lo desea, puede utilizar condiciones para controlar cuándo está en vigor la política. Para obtener más información, consulte Claves de condición para AWS CloudHSM.
Para obtener más información, consulte la Guía del usuario de IAM.
Acciones de la API para AWS CloudHSM
En el elemento Acción de su declaración de política de IAM, puede especificar cualquier acción de API que AWS CloudHSM ofrezca. El nombre de la acción debe llevar como prefijo la cadena en minúsculas cloudhsm:, tal y como se muestra en el ejemplo siguiente.
"Action": "cloudhsm:DescribeClusters"Para especificar varias acciones en una misma instrucción, inclúyalas entre corchetes y sepárelas por comas, tal y como se muestra en el siguiente ejemplo.
"Action": [
"cloudhsm:DescribeClusters",
"cloudhsm:DescribeHsm"
]También puede utilizar el carácter comodín * para especificar varias acciones. En el siguiente ejemplo, se especifican todos los nombres de las acciones de la API AWS CloudHSM que comienzan List por.
"Action": "cloudhsm:List*"Para especificar todas las acciones de la API AWS CloudHSM, usa el comodín *, como se muestra en el siguiente ejemplo.
"Action": "cloudhsm:*"Para ver la lista de acciones de la API para AWS CloudHSM, consulte AWS CloudHSM Acciones.
Claves de condición para AWS CloudHSM
Al crear una política, se pueden especificar las condiciones que controlan cuándo entra en vigor. Cada condición contiene uno o varios pares clave-valor. Existen claves de condición globales y claves de condición específicas del servicio.
AWS CloudHSM no tiene claves de contexto específicas del servicio.
Para obtener más información sobre las claves de condición globales, consulte Claves de contexto de condición de IAM y globales de AWS en la Guía del usuario de IAM.
Políticas administradas por AWS predefinidas para AWS CloudHSM
Las políticas administradas creadas por AWS conceden los permisos necesarios para casos de uso comunes. Puede asociar estas políticas a sus usuarios de IAM, en función del nivel de acceso que necesiten para AWS CloudHSM :
-
AWSCloudHSMFullAccess— Otorga el acceso completo necesario para utilizar AWS CloudHSM las funciones.
-
AWSCloudHSMReadOnlyAccess— Otorga acceso de solo lectura a las AWS CloudHSM funciones.
Políticas gestionadas por el cliente para AWS CloudHSM
Le recomendamos que cree un grupo de administradores de IAM AWS CloudHSM que contenga solo los permisos necesarios para ejecutarse AWS CloudHSM. Asocie la política con los permisos adecuados a este grupo. Puede agregar usuarios de IAM al grupo según sea necesario. Cada usuario que agregue hereda la política del grupo de administradores.
Además, le recomendamos que cree grupos de usuarios adicionales en función de los permisos que necesitan los usuarios. Esto garantiza que solo los usuarios de confianza tengan acceso a acciones críticas de la API. Por ejemplo, puede crear un grupo de usuarios que utilice para conceder acceso de solo lectura a clústeres y HSM. Dado que este grupo no permite a un usuario eliminar clústeres o HSM, un usuario que no sea de confianza no puede afectar a la disponibilidad de una carga de trabajo de producción.
A medida que se vayan añadiendo nuevas funciones de AWS CloudHSM administración a lo largo del tiempo, puede asegurarse de que solo los usuarios de confianza tengan acceso inmediato. Si asigna permisos limitados a las políticas en el momento de su creación, podrá asignarles manualmente los permisos de las nuevas características más adelante.
A continuación se muestran ejemplos de políticas para AWS CloudHSM. Para obtener información acerca de cómo crear una política y asociarla a un grupo de usuarios de IAM, consulte Creación de políticas en la pestaña JSON en la Guía del usuario de IAM.
ejemplo Ejemplo: permiso de solo lectura
Esta política permite el acceso a las acciones DescribeClusters y DescribeBackups de la API. También incluye permisos adicionales para acciones específicas de acciones de la API de Amazon EC2. No permite al usuario eliminar clústeres ni HSM.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:ListTags" ], "Resource": "*" } }
ejemplo Ejemplo: permisos de usuario avanzado
Esta política permite el acceso a un subconjunto de las acciones de la AWS CloudHSM API. También incluye permisos adicionales para acciones de la API de Amazon EC2 específicas. No permite al usuario eliminar clústeres ni HSM. Debe incluir la iam:CreateServiceLinkedRole acción para AWS CloudHSM permitir la creación automática del rol AWSServiceRoleForCloudHSMvinculado al servicio en su cuenta. Este rol permite AWS CloudHSM registrar eventos. Para obtener más información, consulte Funciones vinculadas al servicio para AWS CloudHSM.
nota
Para ver los permisos específicos de cada API, consulte Acciones, recursos y claves de condición para AWS CloudHSM en la Referencia de autorizaciones de servicio.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "cloudhsm:DescribeClusters", "cloudhsm:DescribeBackups", "cloudhsm:CreateCluster", "cloudhsm:CreateHsm", "cloudhsm:RestoreBackup", "cloudhsm:CopyBackupToRegion", "cloudhsm:InitializeCluster", "cloudhsm:ListTags", "cloudhsm:TagResource", "cloudhsm:UntagResource", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource": "*" } }
ejemplo Ejemplo: permisos de administrador
Esta política permite el acceso a todas las acciones de la AWS CloudHSM API, incluidas las acciones para eliminar los HSM y los clústeres. También incluye permisos adicionales para acciones de la API de Amazon EC2 específicas. Debe incluir la iam:CreateServiceLinkedRole acción para AWS CloudHSM permitir la creación automática del rol AWSServiceRoleForCloudHSMvinculado al servicio en su cuenta. Este rol permite AWS CloudHSM registrar eventos. Para obtener más información, consulte Funciones vinculadas al servicio para AWS CloudHSM.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "cloudhsm:*", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DetachNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateSecurityGroup", "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupEgress", "ec2:DescribeSecurityGroups", "ec2:DeleteSecurityGroup", "ec2:CreateTags", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "iam:CreateServiceLinkedRole" ], "Resource":"*" } }
