Gestión de identidad y acceso en AWS Data Exchange - AWS Data Exchange Guía del usuario

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de identidad y acceso en AWS Data Exchange

Para realizar cualquier operación AWS Data Exchange, como crear un trabajo de importación mediante un AWS SDK producto de la AWS Data Exchange consola o suscribirse a él, AWS Identity and Access Management (IAM) es necesario que autentique que es un usuario autorizado AWS . Por ejemplo, si utilizas la AWS Data Exchange consola, autenticas tu identidad proporcionando tus AWS credenciales de inicio de sesión.

Tras autenticar tu identidad, IAM controla tu acceso a AWS un conjunto definido de permisos en un conjunto de operaciones y recursos. Si eres administrador de una cuenta, puedes utilizarla IAM para controlar el acceso de otros usuarios a los recursos asociados a tu cuenta.

Autenticación

Puedes acceder AWS con cualquiera de los siguientes tipos de identidades:

  • Cuenta de AWS usuario raíz: cuando crea una Cuenta de AWS, comienza con una identidad de inicio de sesión que tiene acceso completo a todos Servicios de AWS los recursos de la cuenta. Esta identidad se denomina usuario Cuenta de AWS raíz y se accede a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizaste para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de tareas que requieren que inicie sesión como usuario root, consulte Tareas que requieren credenciales de usuario root en la Guía del IAM usuario.

  • Usuario: un usuario es una identidad en su Cuenta de AWS que tiene permisos personalizados específicos. Puedes usar tus IAM credenciales para iniciar sesión en AWS páginas web seguras como el Centro AWS Management Console o el AWS Support Centro.

  • IAMrol: un IAMrol es una IAM identidad que puedes crear en tu cuenta con permisos específicos. Un IAM rol es similar al de un IAM usuario en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en él AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Los roles con credenciales temporales son útiles en las situaciones siguientes:

    • Acceso de usuario federado: en lugar de crear un usuario, puede utilizar las identidades existentes del directorio de AWS Directory Service usuarios de su empresa o de un proveedor de identidades web. Se conocen como usuarios federados. AWS asigna un rol a un usuario federado cuando se solicita el acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles.

    • Servicio de AWS acceso: una función de servicio es una IAM función que asume un servicio para realizar acciones en tu cuenta en tu nombre. Al configurar algunos de los entornos de Servicio de AWS , debe definir un rol que el servicio asumirá. Esta función de servicio debe incluir todos los permisos necesarios para que el servicio acceda a los AWS recursos que necesita. Los roles de servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando se cumplan los requisitos documentados para dicho servicio. Las funciones del servicio ofrecen acceso solo dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede crear, modificar y eliminar un rol de servicio desde dentroIAM. Por ejemplo, puede crear una función que permita a Amazon Redshift obtener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte Crear un rol para delegar permisos a un AWS servicio.

    • Aplicaciones que se ejecutan en Amazon EC2: puedes usar un IAM rol para administrar las credenciales temporales de las aplicaciones que se ejecutan en una EC2 instancia de Amazon y que realizan AWS CLI o AWS API solicitan. Esto es preferible a almacenar las claves de acceso en la EC2 instancia de Amazon. Para asignar un AWS rol a una EC2 instancia de Amazon y ponerlo a disposición de todas sus aplicaciones, debe crear un perfil de instancia adjunto a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la EC2 instancia de Amazon obtener credenciales temporales. Para obtener más información, consulte Uso de un IAM rol para conceder permisos a las aplicaciones que se ejecutan en Amazon EC2 Instances.