Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Gestión de identidad y acceso en AWS Control Tower
Para realizar cualquier operación en tu landing zone, como aprovisionar cuentas en Account Factory o crear nuevas unidades organizativas (OUs) en la consola de AWS Control Tower, ya sea AWS Identity and Access Management (IAM) o AWS IAM Identity Center requieren que autentifiques que eres un aprobado AWS usuario. Por ejemplo, si utilizas la consola de la Torre de AWS Control, autenticas tu identidad proporcionando tu AWS credenciales, tal como las proporcionó su administrador.
Tras autenticar su identidad, IAM controla su acceso a AWS con un conjunto definido de permisos para un conjunto específico de operaciones y recursos. Si es administrador de una cuenta, puede IAM utilizarla para controlar el acceso de otros IAM usuarios a los recursos asociados a su cuenta.
Temas
- Autenticación
- Control de acceso
- Trabajo con el Centro de Identidad de AWS IAM y la Torre de Control de AWS
- Descripción general de la administración de los permisos de acceso a los recursos AWS de la Torre de Control
- Evite la suplantación de identidad entre servicios
- Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower
Autenticación
Tiene acceso a AWS como cualquiera de los siguientes tipos de identidades:
-
AWS usuario raíz de la cuenta: cuando se crea por primera vez un AWS cuenta, comienzas con una identidad que tiene acceso completo a todas AWS servicios y recursos de la cuenta. Esta identidad se denomina AWS usuario raíz de la cuenta. Obtiene acceso a esta identidad cuando inicia sesión con la dirección de correo electrónico y la contraseña que usó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En su lugar, siga la práctica recomendada de utilizar el usuario root únicamente para crear su primer usuario del Centro de IAM Identidad (recomendado) o IAM usuario (no es una práctica recomendada en la mayoría de los casos de uso). A continuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunas tareas de administración de cuentas y servicios. Para obtener más información, consulte ¿Cuándo iniciar sesión como usuario root.
-
IAMusuario: un IAMusuario es una identidad dentro de su AWS cuenta que tiene permisos específicos y personalizados. Puede usar las credenciales IAM de usuario para iniciar sesión y proteger AWS páginas web como AWS Consola de administración, AWS Foros de debate, o AWS Support Center. AWS las prácticas recomendadas recomiendan crear un usuario del Centro de IAM identidades en lugar de un IAM usuario, ya que existe un mayor riesgo de seguridad cuando se crea un IAM usuario que tiene credenciales de larga duración.
Si debe crear un IAM usuario para un fin determinado, además de las credenciales de inicio de sesión, puede generar claves de acceso para cada IAM usuario. Puedes usar estas claves cuando llames AWS servicios mediante programación, ya sea a través de uno de los varios SDKs o mediante el AWS Interfaz de línea de comandos ()CLI. Las CLI herramientas SDK y utilizan las claves de acceso para firmar criptográficamente su solicitud. Si no usas AWS herramientas, debe firmar la solicitud usted mismo. AWSControl Tower es compatible con la versión 4 de Signature, un protocolo para autenticar las solicitudes entrantesAPI. Para obtener más información sobre la autenticación de las solicitudes, consulte el proceso de firma de la versión 4 de Signature en la AWS Referencia general.
-
IAMrol: un IAMrol es una IAM identidad que puedes crear en tu cuenta y que tiene permisos específicos. Un IAM rol es similar al de un IAM usuario en el sentido de que es AWS identidad y tiene políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Sin embargo, en lugar de estar asociado únicamente a una persona, se pretende que un rol lo pueda asumir cualquier persona que lo necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. IAMlos roles con credenciales temporales son útiles en las siguientes situaciones:
-
Acceso de usuarios federados: en lugar de crear un IAM usuario, puede utilizar las identidades existentes de AWS Directory Service, el directorio de usuarios de su empresa o un proveedor de identidades web. Esto se conoce como usuarios federados. AWS asigna un rol a un usuario federado cuando se solicita el acceso a través de un proveedor de identidad. Para obtener más información sobre los usuarios federados, consulte Usuarios y roles federados en la Guía del usuario. IAM
-
AWS acceso al servicio: un rol de servicio es un IAM rol que un servicio asume para realizar acciones en su cuenta en su nombre. Cuando configuras alguna AWS en los entornos de servicio, debe definir una función que deba asumir el servicio. Esta función de servicio debe incluir todos los permisos necesarios para que el servicio acceda al AWS los recursos que necesita. Los roles de servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando se cumplan los requisitos documentados para dicho servicio. Las funciones del servicio ofrecen acceso solo dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede crear, modificar y eliminar un rol de servicio desde dentroIAM. Por ejemplo, puede crear una función que permita a Amazon Redshift obtener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte Crear un rol para delegar permisos en un AWS Servicio en la Guía IAM del usuario.
-
Aplicaciones que se ejecutan en Amazon EC2: puedes usar un IAM rol para administrar las credenciales temporales de las aplicaciones que se ejecutan en una EC2 instancia de Amazon y están creando AWS CLIo AWS APIsolicitudes. Esto es preferible a almacenar las claves de acceso en la EC2 instancia de Amazon. Para asignar un AWS para asignar un rol a una EC2 instancia de Amazon y ponerlo a disposición de todas sus aplicaciones, se crea un perfil de instancia que se adjunta a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la EC2 instancia de Amazon obtener credenciales temporales. Para obtener más información, consulte Uso de un IAM rol para conceder permisos a aplicaciones que se ejecutan en EC2 instancias de Amazon en la Guía del IAM usuario.
-
-
IAMLa autenticación de los usuarios de IAM Identity Center en el portal de usuarios de Identity Center se controla mediante el directorio al que se ha conectado a IAM Identity Center. Sin embargo, la autorización al AWS las cuentas que están disponibles para los usuarios finales desde el portal de usuarios vienen determinadas por dos factores:
-
¿A quién se le ha asignado el acceso a esas AWS cuentas en AWS IAMconsola de Identity Center. Para obtener más información, consulte el acceso mediante inicio de sesión único en la AWS IAM Identity Center Guía del usuario.
-
¿Qué nivel de permisos se han concedido a los usuarios finales en el AWS IAMConsola de Identity Center para permitirles el acceso adecuado a ellos AWS cuentas. Para obtener más información, consulte Conjuntos de permisos en la AWS IAM Identity Center Guía del usuario.
-
Control de acceso
Para crear, actualizar, eliminar o incluir en una lista los recursos AWS de la Torre de Control Tower u otros AWS necesita permisos para realizar la operación y permisos para acceder a los recursos correspondientes en su landing zone. Además, para realizar la operación mediante programación, necesita claves de acceso válidas.
En las siguientes secciones se describe cómo administrar los permisos de la Torre AWS de Control:
Temas
