Administración de identidades y accesos para AWS Global Accelerator - AWS Global Accelerator
Conceptos y términosPermisos necesarios para el acceso a la consola, la administración de autenticación y el control de accesoCómo funciona Global Accelerator con IAMSolución de problemas de autenticación y control de acceso Políticas basadas en etiquetas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de identidades y accesos para AWS Global Accelerator

AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos de AWS, incluidos los recursos de AWS Global Accelerator. Los administradores usan IAM para controlar quién esautenticado(iniciado sesión) yAutorizado(tiene permisos) para utilizar recursos de Global Accelerator. La IAM es una característica incluida en la cuenta de AWS sin cargo adicional.

importante

Si no está familiarizado con IAM, revise la información introductoria de esta página y, a continuación, consulteIntroducción a IAM. Si lo desea, puede obtener más información sobre la autenticación y el control de acceso en¿Qué es la autenticación?,¿Qué es el control de acceso?, y¿Qué son las políticas?.

Temas

Conceptos y términos

AutenticaciónPara iniciar sesión en AWS, debe utilizar una de las siguientes opciones: credenciales de usuario raíz (no se recomienda), credenciales de usuario de IAM o credenciales temporales mediante roles de IAM. Para obtener más información acerca de estas entidades, consulte ¿Qué es la autenticación?.

Control de acceso: los administradores de AWS utilizan políticas para controlar el acceso a los recursos de AWS, tales como aceleradores de Acelerador global. Para obtener más información, consulte ¿Qué es el control de acceso? y ¿Qué son las políticas?.

importante

Todos los recursos de una cuenta son propiedad de esta última, independientemente de quién los haya creado. Debe tener acceso para crear un recurso. Sin embargo, el mero hecho de haber creado un recurso no significa que automáticamente vaya a tener acceso completo a dicho recurso. Un administrador debe conceder permisos de forma explícita para cada acción que se desee realizar. Ese administrador también puede revocar los permisos en cualquier momento.

Para ayudarle a comprender los conceptos básicos del funcionamiento de IAM, revise los siguientes términos:

Recursos

Los servicios de AWS, como el acelerador global e IAM, suelen incluir objetos denominados recursos. En la mayoría de los casos, puede crear, administrar y eliminar estos recursos del servicio. Los recursos de IAM incluyen usuarios, grupos, roles y políticas:

Usuarios

Un usuario de IAM representa a la persona o aplicación que utiliza sus credenciales para interactuar con AWS. Un usuario consta de un nombre, una contraseña para iniciar sesión en la consola de administración de AWS y un máximo de dos claves de acceso que se pueden utilizar con la CLI o la API de AWS.

Grupos

Un grupo de IAM es un conjunto de usuarios de IAM. Los administradores pueden usar los grupos para especificar permisos para los usuarios que lo componen. Esto facilita el proceso de administrar los permisos de varios usuarios.

Roles

Un rol de IAM no tiene asociadas unas credenciales a largo plazo (contraseña o claves de acceso). Cualquier persona que la necesite y tenga permiso para ello puede asumir un rol. Un usuario de IAM puede asumir una función para disponer temporalmente de diferentes permisos para una tarea específica. Los usuarios federados puede asumir un rol mediante un proveedor de identidad externo mapeado a ese rol. Algunos servicios de AWS pueden asumir unRol de servicio dePara obtener acceso a los recursos de AWS en su nombre.

Políticas

Las políticas son documentos JSON que definen los permisos para el objeto al que están asociadas. AWS admitePolíticas de basadas en identidadesque asocie a identidades (usuarios, grupos o roles). Algunos servicios de AWS le permiten adjuntarPolíticas de basadas en recursosPara controlar lo que una entidad principal (persona o aplicación) puede hacer con ese recurso. Global Accelerator no admite políticas basadas en recursos de.

Identidades

Las identidades son recursos de IAM para los cuales se pueden definir permisos. Estos incluyen usuarios, grupos y roles.

Entidades

Las entidades son recursos de IAM que se utilizan para la autenticación. Estos incluyen usuarios y roles.

Entidades principales

En AWS, una entidad principal es una persona o aplicación que utiliza una entidad para iniciar sesión en y realizar solicitudes a AWS. Como entidad principal, puede utilizar la consola de administración de AWS o la CLI o la API de AWS para llevar a cabo una operación (por ejemplo, eliminar un acelerador). Esto crea una solicitud para esa operación. La solicitud especifica la acción, el recurso, la entidad principal, la cuenta de la entidad principal y la información adicional deseada sobre la solicitud. Toda esta información proporciona a AWS concontextPara su solicitud. AWS comprueba todas las políticas que se aplican al contexto de una solicitud. AWS autoriza la solicitud únicamente si cada parte de la solicitud está permitida por las políticas.

Para ver un diagrama del proceso de autenticación y control de acceso, consulteEntender cómo funciona IAMen laGuía del usuario de IAM. Para obtener información detallada acerca de cómo AWS determina si una solicitud está permitida, consulteLógica de evaluación de políticasen laGuía del usuario de IAM.

Permisos necesarios para el acceso a la consola, la administración de autenticación y el control de acceso

Para utilizar Global Accelerator o para administrar la autorización y el control de acceso para sí mismo o para otros, debe contar con los permisos adecuados.

Permisos necesarios para crear un acelerador Global Accelerator

Para crear un AWS Global Accelerator, los usuarios deben tener permiso para crear roles vinculados a servicios asociados a Global Accelerator.

Para asegurarse de que los usuarios tienen los permisos correctos para crear aceleradores en Global Accelerator, adjunte una directiva al usuario como la siguiente.

nota

Si crea una política de permisos basados en identidad que sea más restrictiva, los usuarios con dicha política no podrán crear un acelerador.

{
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "globalaccelerator.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
      ],
      "Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*"
    }

Permisos necesarios para usar la consola Global Accelerator

Para obtener acceso a la consola de AWS Global Accelerator, debe tener un conjunto mínimo de permisos que le permita mostrar y ver detalles sobre los recursos de Global Accelerator de su cuenta de AWS. Si crea una política de permisos basados en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades que tengan esa política.

Para asegurarse de que esas entidades puedan seguir usando la consola de Global Accelerator o las acciones de la API, asocie también una de las políticas administradas de AWS siguientes al usuario, tal y como se describe enCreación de políticas en la pestaña JSON:

        GlobalAcceleratorReadOnlyAccess
        GlobalAcceleratorFullAccess

Adjuntar la primera política,GlobalAcceleratorReadOnlyAccess, si los usuarios solo necesitan ver información en la consola o realizar llamadas a la CLI de AWS o a la API que utilizanList*orDescribe*Operaciones.

Adjuntar la segunda política,GlobalAcceleratorFullAccess, a los usuarios que necesitan crear o actualizar los aceleradores. La política de acceso completa incluyeFULLpermisos para Global Accelerator, así comodescribepermisos para Amazon EC2 y Elastic Load Balancing.

nota

Si crea una política de permisos basada en identidades que no incluya los permisos necesarios para Amazon EC2 y Elastic Load Balancing, los usuarios con esa política no podrán agregar recursos de Amazon EC2 y Elastic Load Balancing a los aceleradores.

La siguiente es la política de acceso completo:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Permisos necesarios para la administración de autenticación

Para administrar sus propias credenciales, tales como su contraseña, claves de acceso y dispositivos Multi-Factor Authentication (MFA), el administrador debe concederle los permisos necesarios. Para ver la política que incluye estos permisos, consulte Permitir a los usuarios de administrar ellos mismos sus credenciales.

Como administrador de AWS, necesita acceso completo a IAM para poder crear y administrar usuarios, grupos, roles y políticas de IAM. Debe utilizar la opciónAdministratorAccessPolítica Administrada por AWS que incluye acceso completo a la totalidad de AWS. Esta política no proporciona acceso a la consola de Billing and Cost Management de AWS ni permite tareas que requieren credenciales de usuario raíz de la cuenta de AWS. Para obtener más información, consulteTareas de AWS que requieren credenciales de usuario raíz de la cuenta de AWSen laReferencia general de AWS.

aviso

Solo un usuario administrador debe tener acceso completo a AWS. Cualquier persona que tenga esta política dispondrá de permiso para administrar totalmente la autenticación y el control de acceso, además de para modificar todos los recursos de AWS. Para obtener más información sobre cómo crear este usuario, consulte Cree su usuario administrador de IAM.

Permisos necesarios para el control de acceso

Si el administrador le ha proporcionado credenciales de usuario de IAM, habrán asociado políticas a ese usuario de IAM para controlar a qué recursos puede tener acceso. Para ver las políticas asociadas a su identidad de usuario en AWS Management Console, debe tener los permisos siguientes:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "ListUsersViewGroupsAndPolicies",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Si necesita permisos adicionales, pida a su administrador que actualice las políticas de tal forma que pueda tener acceso a las acciones que necesita.

Comprender cómo funciona Global Accelerator con IAM

Los servicios pueden funcionar con IAM de varias maneras:

Actions

Global Accelerator admite el uso de acciones en una política. Esto permite que un administrador controle si una entidad puede completar una operación de Global Accelerator. Por ejemplo, para permitir que una entidad llame al métodoGetPolicyPara ver una política de la API de AWS, un administrador debe asociar una política que permita que laiam:GetPolicyaction.

En la siguiente política de ejemplo se permite a un usuario realizar la instrucción deCreateAcceleratorpara crear mediante programación un acelerador para su cuenta de AWS:

{
   "Version": "2018-08-08",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "globalaccelerator:CreateAccelerator"
         ],
         "Resource":"*"
      }
   ]
}
Permisos de nivel de recursos

Global Accelerator admite permisos de nivel de recurso. Los permisos de nivel de recursos permiten usar ARN para especificar recursos individuales en la política.

Políticas basadas en recursos

Global Accelerator no admite políticas basadas en recursos de. Con las políticas basadas en recursos, puede asociar una política a un recurso dentro del servicio. Las políticas basadas en recursos incluyen unPrincipalPara especificar qué identidades de IAM pueden obtener acceso a dicho recurso.

Autorización basada en etiquetas

Global Accelerator admite etiquetas basadas en autorización. Esta característica le permite utilizar etiquetas de recursos en la condición de una política.

Credenciales temporales

Global Accelerator admite las credenciales temporales. Con credenciales temporales, puede iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS STS comoAssumeRoleorGetFederationToken.

Roles vinculados a servicios

Global Accelerator admite roles vinculados a servicios. Esta característica permite que un servicio asuma un rol vinculado a un servicio en nombre de usted. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.

Roles de servicio

Global Accelerator no es compatible con roles de servicio. Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.

Solución de problemas de autenticación y control de acceso

Utilice la información siguiente para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con IAM.

No tengo autorización para realizar una acción en Global Accelerator

Si la consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción, debe ponerse en contacto con el administrador que le haya proporcionado su nombre de usuario y contraseña.

El ejemplo siguiente se produce cuando un usuario de IAM denominadomy-user-nameintenta usar la consola de para realizar laglobalaccelerator:CreateAcceleratorpero no tiene permisos:

User: arn:aws:iam::123456789012:user/my-user-name is not authorized to perform: aws-globalaccelerator:CreateAccelerator on resource: my-example-accelerator

En este caso, pida al administrador que actualice sus políticas de forma que pueda obtener acceso a lamy-example-acceleratorUso de la herramientaaws-globalaccelerator:CreateAcceleratoraction.

Soy administrador y deseo permitir que otros obtengan acceso a Global Accelerator

Para permitir que otros obtengan acceso a Global Accelerator, debe crear una entidad de IAM (usuario o rol) para la persona o aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidad para obtener acceso a AWS. A continuación, debe asociar una política a la entidad que les conceda los permisos correctos en Global Accelerator.

Para comenzar trabajar enseguida, consulte Introducción a IAM.

Quiero entender IAM sin convertirme en un experto

Para obtener más información sobre los términos, conceptos y procedimientos de IAM, consulte los siguientes temas:

Políticas basadas en etiquetas

Al diseñar políticas de IAM, es posible establecer permisos pormenorizados mediante la concesión de acceso a recursos específicos. A medida que crezca la cantidad de recursos que administra, esta tarea será más complicada. El etiquetado de aceleradores y uso de etiquetas en las condiciones de declaración de política pueden facilitar esta tarea. Puede conceder acceso de forma masiva a cualquier acelerador con una determinada etiqueta. A continuación, aplique repetidamente esta etiqueta a los aceleradores pertinentes, al crear el acelerador o al actualizar el acelerador más tarde.

nota

El uso de etiquetas en las condiciones es una manera de controlar el acceso a los recursos y las solicitudes. Para obtener información acerca del etiquetado en Global Accelerator, consulteEtiquetado en AWS Global Accelerator.

Las etiquetas se pueden asociar a un recurso o pasarse dentro de la solicitud a los servicios que admiten etiquetado. En Global Accelerator, sólo los aceleradores pueden incluir etiquetas. Al crear una política de IAM, puede utilizar las claves de condición de etiqueta para controlar:

  • Qué usuarios pueden realizar acciones en un acelerador, basándose en las etiquetas que ya tiene.

  • Las etiquetas que se pueden pasar en la solicitud de una acción.

  • Si claves de etiqueta específicas se pueden utilizar en una solicitud.

Para obtener la sintaxis y semántica completas de claves de condición de etiquetas, consulteControlar el acceso mediante etiquetas de IAMen laGuía del usuario de IAM.

Por ejemplo, el Acelerador GlobalGlobalAcceleratorFullAccessLa política de usuario administrada proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Acelerador global en cualquier recurso. La siguiente política deniega permiso a usuarios no autorizados para realizar cualquier acción de Global Accelerator en cualquierProducciónAceleradores de El administrador de un cliente debe asociar esta política de IAM a los usuarios de IAM no autorizados, además de la política de usuario administrada.

{ 
   "Version":"2012-10-17",
   "Statement":[ 
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:RequestTag/stage":"prod"
            }
         }
      },
      { 
         "Effect":"Deny",
         "Action":"*",
         "Resource":"*",
         "Condition":{ 
            "ForAnyValue:StringEquals":{ 
               "aws:ResourceTag/stage":"prod"
            }
         }
      }
   ]
}