Acerca de las políticas basadas en la identidad (políticas) IAM Políticas basadas en recursos

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se analiza el uso IAM en el contexto de la Torre de AWS Control. No se proporciona información detallada acerca del servicio IAM. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las AWS IAMpolíticas, consulte la referencia de políticas en la Guía del IAM usuario.

Las políticas que se asocian a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM). Las políticas que se adjuntan a un recurso se denominan políticas basadas en recursos.

nota

AWSControl Tower solo admite políticas basadas en la identidad (IAMpolíticas).

Temas

Acerca de las políticas basadas en la identidad (políticas) IAM
Creación de roles y asignación de permisos
Políticas basadas en recursos

Acerca de las políticas basadas en la identidad (políticas) IAM

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

Adjunta una política de permisos a un usuario o grupo de tu cuenta: para conceder a un usuario permisos para crear un recurso de la Torre de AWS Control Tower, como la configuración de una landing zone, puedes adjuntar una política de permisos a un usuario o grupo al que pertenezca el usuario.
Asociar una política de permisos a un rol (conceder permisos entre cuentas): puede asociar una política de permisos basada en identidad a un rol de IAM para conceder permisos entre cuentas. Por ejemplo, el administrador de una AWS cuenta (cuenta A) puede crear un rol que conceda permisos entre cuentas a otra AWS cuenta (cuenta B), o el administrador puede crear un rol que conceda permisos a otro AWS servicio.
1. El administrador de la cuenta A crea un IAM rol y adjunta una política de permisos al rol que otorga permisos para administrar los recursos de la cuenta A.
2. El administrador de la cuenta A asocia una política de confianza al rol. La política identifica la cuenta B como la entidad principal, que puede asumir el rol.
3. Como entidad principal, el administrador de la cuenta B puede conceder permiso a cualquier usuario de la cuenta B para que asuma el rol. Al asumir el rol, los usuarios de la cuenta B pueden crear recursos de la cuenta A u obtener acceso a ellos.
4. Para conceder a un AWS servicio la capacidad (permisos) de asumir el rol, el principal que especifiques en la política de confianza puede ser un AWS servicio.

Políticas basadas en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede adjuntar una política a un bucket de S3 para administrar los permisos de acceso a ese bucket. AWS Control Tower no admite políticas basadas en recursos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Descripción general de la gestión del acceso a los recursos con IAM

Creación de roles y asignación de permisos