Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Health ejemplos de políticas basadas en la identidad
De forma predeterminada, los usuarios y los roles de IAM no tienen permiso para crear, ver ni modificar recursos de AWS Health . Tampoco pueden realizar tareas con la API AWS Management Console AWS CLI, o AWS . Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en la Guía del usuario de IAM.
Temas
Prácticas recomendadas relativas a políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Health recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de trabajo en la Guía del usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se puedes llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulta Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utiliza condiciones en las políticas de IAM para restringir aún más el acceso: puedes agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puedes escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: condición en la Guía del usuario de IAM.
-
Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para obtener más información, consulte Validación de políticas mediante el Analizador de acceso de IAM en la Guía del usuario de IAM.
-
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para obtener más información, consulte Acceso seguro a la API con MFA en la Guía del usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Mediante la consola de AWS Health
Para acceder a la AWS Health consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Health recursos de su AWS cuenta. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política.
Para garantizar que esas entidades puedan seguir utilizando la AWS Health consola, puedes adjuntar la siguiente política AWS gestionada: AWSHealthFullAccess
La política de AWSHealthFullAccess concede a una entidad acceso completo a lo siguiente:
-
Activa o desactiva la función de visualización de la AWS Health organización para todas las cuentas de una AWS organización
-
El AWS Health Dashboard de la AWS Health consola
-
AWS Health Operaciones y notificaciones de la API
-
Consulta la información sobre las cuentas que forman parte de tu AWS organización
-
Consulte las unidades organizativas (OU) de la cuenta de administración
ejemplo : AWSHealthFullAccess
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "health.amazonaws.com" } } } ] }
nota
También puede usar la política Health_OrganizationsServiceRolePolicy AWS
administrada para ver los eventos de otras cuentas de su organización. AWS Health Para obtener más información, consulte Uso de roles vinculados a servicios de AWS Health.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
Para obtener más información, consulte Adición de permisos a un usuario en la Guía del usuario de IAM.
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas gestionadas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Acceso a la API AWS Health Dashboard y a la API AWS Health
AWS Health Dashboard Está disponible para todas las AWS cuentas. La AWS Health API solo está disponible para cuentas con un plan Business, Enterprise On-Ramp o Enterprise Support. Para obtener más información, consulte Support
Puede usar IAM para crear entidades (usuarios, grupos o roles) y, a continuación, conceder a esas entidades permisos de acceso a la API AWS Health Dashboard y a la AWS Health misma.
De forma predeterminada, los usuarios de IAM no tienen acceso a la API AWS Health Dashboard ni a la AWS Health misma. Para dar acceso a los usuarios a la AWS Health información de su cuenta, debe adjuntar las políticas de IAM a un único usuario, un grupo de usuarios o un rol. Para obtener más información, consulte Identidades (usuarios, grupos y roles) e Información general sobre las políticas de IAM.
Después de crear los usuarios de IAM, puede asignarles contraseñas. Luego, pueden iniciar sesión en tu cuenta y ver la AWS Health información mediante una página de inicio de sesión específica de la cuenta. Para obtener más información, consulte Cómo inician sesión los usuarios en la cuenta.
nota
Un usuario de IAM con permisos de visualización AWS Health Dashboard tiene acceso de solo lectura a la información de salud en todos los AWS servicios de la cuenta, que pueden incluir, entre otros, AWS recursos IDs como la EC2 instancia IDs de Amazon, las direcciones IP de las EC2 instancias y las notificaciones de seguridad generales.
Por ejemplo, si una política de IAM concede acceso únicamente a AWS Health Dashboard la AWS Health API, el usuario o rol al que se aplica la política puede acceder a toda la información publicada sobre los AWS servicios y los recursos relacionados, incluso si otras políticas de IAM no permiten ese acceso.
Puedes usar dos grupos de APIs for. AWS Health
-
Cuentas individuales: puede utilizar operaciones como DescribeEvents, por ejemplo, DescribeEventDetailsobtener información sobre AWS Health los eventos de su cuenta.
-
Cuenta de organización: puede utilizar operaciones como DescribeEventsForOrganization, por ejemplo, DescribeEventDetailsForOrganizationobtener información sobre AWS Health eventos para las cuentas que forman parte de su organización.
Para obtener más información sobre las operaciones de la API disponibles, consulte la Referencia de la API de AWS Health.
Acciones individuales
Puede establecer el elemento Action de una política de IAM en health:Describe*. Esto permite el acceso a AWS Health Dashboard y AWS Health. AWS Health admite el control de acceso a los eventos en función del servicio eventTypeCode and.
Describir el acceso
Esta declaración de política otorga acceso a cualquiera de las operaciones de la Describe* AWS Health API AWS Health Dashboard y a cualquiera de ellas. Por ejemplo, un usuario de IAM con esta política puede acceder a la operación AWS Health Dashboard de AWS Health
DescribeEvents API AWS Management Console y llamar a ella.
ejemplo : describir el acceso
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }] }
Denegar el acceso
Esta declaración de política deniega el acceso a la AWS Health API AWS Health Dashboard y a la misma. Un usuario de IAM con esta política no puede ver ni llamar a ninguna de las operaciones de la AWS Health API. AWS Health Dashboard AWS Management Console
ejemplo : denegar el acceso
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "health:*" ], "Resource": "*" }] }
Vista organizativa
Si quieres habilitar la vista organizacional para AWS Health, debes permitir el acceso a las AWS Organizations acciones AWS Health y.
El elemento Action de una política de IAM debe incluir los siguientes permisos:
-
iam:CreateServiceLinkedRole -
organizations:EnableAWSServiceAccess -
organizations:DescribeAccount -
organizations:DisableAWSServiceAccess -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListParents
Para conocer los permisos exactos necesarios para cada una de ellas APIs, consulte las acciones definidas por AWS Health APIs y las notificaciones en la Guía del usuario de IAM.
nota
Debe utilizar las credenciales de la cuenta de administración para que una organización pueda acceder a la AWS Health APIs . AWS Organizations Para obtener más información, consulte Agregar AWS Health eventos en todas las cuentas.
Cómo permitir el acceso a la vista organizativa de AWS Health
Esta declaración de política otorga acceso a todas AWS Health las AWS Organizations acciones que necesite para la función de visualización de la organización.
ejemplo : Permitir el acceso a la vista de la AWS Health organización
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "health:*", "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
Cómo restringir el acceso a la vista organizativa de AWS Health
Esta declaración de política deniega el acceso a AWS Organizations las acciones, pero permite el acceso a AWS Health las acciones de una cuenta individual.
ejemplo : Denegar el acceso a la vista de la AWS Health organización
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:DisableAWSServiceAccess" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "health.amazonaws.com" } } }, { "Effect": "Deny", "Action": [ "organizations:DescribeAccount", "organizations:ListAccounts", "organizations:ListDelegatedAdministrators", "organizations:ListParents" ], "Resource": "*" }, { "Effect": "Deny", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*" } ] }
nota
Si el usuario o el grupo al que quieres conceder permisos ya tiene una política de IAM, puedes añadir la declaración AWS Health de política específica a esa política.
Condiciones basadas en recursos y en acciones
AWS Health admite las condiciones de IAM para las operaciones de API DescribeAffectedEntitiesy DescribeEventDetailsde IAM. Puede usar condiciones basadas en recursos y acciones para restringir los eventos que la AWS Health API envía a un usuario, grupo o rol.
Para ello, actualice el bloque Condition de la política de IAM o establezca el elemento Resource. Puedes usar las condiciones de cadena para restringir el acceso en función de determinados campos de AWS Health eventos.
Puedes usar los siguientes campos al especificar un AWS Health evento en tu política:
-
eventTypeCode -
service
Notas
-
Las operaciones DescribeAffectedEntitiesy la DescribeEventDetailsAPI admiten permisos a nivel de recursos. Por ejemplo, puede crear una política para permitir o rechazar eventos específicos de AWS Health .
-
Las operaciones DescribeAffectedEntitiesForOrganizationy la DescribeEventDetailsForOrganizationAPI no admiten permisos a nivel de recursos.
-
Para obtener más información, consulta las acciones, los recursos y las claves de condición y las AWS Health APIs notificaciones en la Referencia de autorización de servicios.
ejemplo : condición basada en acciones
Esta declaración de política concede el acceso a AWS Health Dashboard las operaciones de la AWS Health
Describe* API, pero deniega el acceso a cualquier AWS Health evento relacionado con Amazon EC2.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringEquals": { "health:service": "EC2" } } } ] }
ejemplo : condición basada en recursos
La política siguiente tiene el mismo efecto, pero utiliza el elemento Resource en su lugar.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "health:Describe*" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeEventDetails", "health:DescribeAffectedEntities" ], "Resource": "arn:aws:health:*::event/EC2/*/*" }] }
ejemplo : eventTypeCode condición
Esta declaración de política concede el acceso a AWS Health Dashboard las operaciones de la AWS Health
Describe* API, pero deniega el acceso a cualquier AWS Health evento eventTypeCode que coincidaAWS_EC2_*.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "health:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "health:DescribeAffectedEntities", "health:DescribeEventDetails" ], "Resource": "*", "Condition": { "StringLike": { "health:eventTypeCode": "AWS_EC2_*" } } } ] }
importante
Si llamas a las DescribeEventDetailsoperaciones DescribeAffectedEntitiesand y no tienes permiso para acceder al AWS Health evento, aparece el AccessDeniedException error. Para obtener más información, consulte Solución de problemas AWS Health de identidad y acceso.
