Identity and Access Management en IVS
AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda al administrador de una cuenta a controlar de forma segura el acceso a los recursos de AWS. Cada recurso de AWS es propiedad de una cuenta de AWS y los permisos para crear o tener acceso a un recurso se rigen por las políticas de permisos. Los administradores de la cuenta de IAM controlan quién se puede autenticar (iniciar sesión) y autorizar (tener permisos) para utilizar los recursos de Amazon IVS. IAM es una característica de la cuenta de AWS que se ofrece sin cargo adicional.
Importante: Para obtener información completa, consulte la Página del producto de AWS IAM
Público
La forma en que utilice IAM difiere, en función del trabajo que realice en Amazon IVS.
-
Usuario de servicio: si utiliza el servicio de Amazon IVS para realizar su trabajo, el administrador le proporcionará las credenciales y los permisos que necesita. A medida que utilice más características de Amazon IVS para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarle a solicitar los permisos correctos a su administrador. Si no puede acceder a una característica de Amazon IVS, consulte Resolución de problemas.
-
Administrador de servicio: si está a cargo de los recursos de Amazon IVS de su empresa, probablemente tenga acceso completo a Amazon IVS. Su trabajo consiste en determinar a qué características y recursos de Amazon IVS pueden acceder los empleados. A continuación, debe enviar solicitudes a su administrador de IAM para cambiar los permisos de los usuarios de su servicio. Revise la información de esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo la empresa puede utilizar IAM con Amazon IVS, consulte Cómo funciona Amazon IVS con IAM.
-
Administrador de IAM: si es un administrador de IAM, puede escribir políticas para administrar el acceso a Amazon IVS. Para consultar ejemplos de políticas basadas en la identidad de Amazon IVS que puede utilizar en IAM, consulte Ejemplos de políticas basadas en identidad.
Cómo funciona Amazon IVS con IAM
Para poder realizar solicitudes de API de Amazon IVS, debe crear una o varias identidades de IAM (usuarios, grupos y roles) y políticas de IAM y, a continuación, adjunte políticas a identidades. Los permisos tardan hasta unos minutos en propagarse; hasta entonces, las solicitudes de API se rechazan.
Para obtener una perspectiva general de cómo funciona Amazon IVS con IAM, consulte Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM.
Identidades
Puede crear identidades de IAM para proporcionar autenticación a personas y procesos en la cuenta de AWS. Los grupos de IAM son conjuntos de usuarios de IAM que puede administrar como una unidad. Consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.
Políticas
Consulte estas secciones en la sección Guía del usuario de IAM:
-
Administración de accesos: todo sobre las políticas.
-
Referencia de los elementos de las políticas de JSON de IAM: todos los elementos que puede utilizar en una política de JSON.
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar recursos de Amazon IVS (ni siquiera para cambiar sus propias contraseñas). Tampoco se pueden realizar tareas con la consola de AWS, la CLI de AWS o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de API concretas en los recursos especificados necesarios.
Las políticas de IAM definen permisos para una acción independientemente del método que se utilice para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción iam:GetRole
. Un usuario con dicha política puede obtener información del rol desde la consola de administración de AWS, la CLI de AWS o la API de AWS.
Un documento de política de JSON se compone de elementos. Amazon IVS admite tres elementos:
-
Acciones: las acciones de política para Amazon IVS utilizan el prefijo
ivs
antes de la acción. Por ejemplo, para conceder a alguien permiso para crear un canal de Amazon IVS con el método de la APICreateChannel
de Amazon IVS, debe incluir la acciónivs:CreateChannel
en la política. Las instrucciones de la política deben incluir un elementoAction
o un elementoNotAction
. -
Recursos: el recurso del canal de Amazon IVS tiene el siguiente formato de ARN:
arn:aws:ivs:${Region}:${Account}:channel/${channelId}
Por ejemplo, para especificar el canal
VgNkEJgOVX9N
en su instrucción, utilice este ARN:"Resource": "arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N"
Algunas acciones de Amazon IVS, como las que se utilizan para crear recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (
*
):"Resource":"*"
-
Condiciones: Amazon IVS admite algunas claves de condición globales:
aws:RequestTag
,aws:TagKeys
yaws:ResourceTag
.
Puede utilizar variables como marcadores de posición en una política. Por ejemplo, puede conceder un permiso de usuario de IAM para acceder a un recurso, solo si está etiquetado con el nombre de usuario de IAM. Consulte Variables y etiquetas en la Guía del usuario de IAM.
Amazon IVS proporciona políticas administradas de AWS que se pueden utilizar para conceder un conjunto preconfigurado de permisos a las identidades (acceso total o de solo lectura). Puede optar por utilizar políticas administradas en lugar de las políticas basadas en la identidad que están a continuación. Para obtener detalles, consulte Políticas administradas para Amazon IVS.
Autorización basada en etiquetas de Amazon IVS
Puede asociar etiquetas a los recursos de Amazon IVS o transferirlas en una solicitud a Amazon IVS. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/key-name
, aws:RequestTag/key-name
o aws:TagKeys
. Para obtener más información sobre cómo etiquetar los recursos de Amazon IVS, consulte “Etiquetado” en la Referencia de la API de transmisión de baja latencia de IVS, la Referencia de la API de transmisión en tiempo real de IVS y la Referencia de la API del Chat de IVS.
Para ver un ejemplo, consulta Consultar los canales de Amazon IVS basados en etiquetas.
Roles
Consulte Roles de IAM y Credenciales de seguridad temporales en la Guía del usuario de IAM.
Un rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos.
Amazon IVS admite el uso de credenciales de seguridad temporales. Puede utilizar credenciales temporales para iniciar sesión con identidad federada, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS Security Token Service, como AssumeRole
o GetFederationToken
.
Acceso privilegiado y sin privilegios
Los recursos de la API tienen acceso privilegiado. El acceso a la reproducción sin privilegios se puede configurar a través de canales privados; consulte Configuración de canales privados.
Prácticas recomendadas para utilizar las políticas
Consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.
Las políticas basadas en identidad son muy eficaces. Determinan si alguien puede crear, acceder o eliminar los recursos de Amazon IVS de la cuenta. Estas acciones pueden generar costos adicionales para su cuenta de AWS. Siga estas recomendaciones:
-
Conceda privilegios mínimos: al crear políticas personalizadas, conceda solo los permisos necesarios para llevar a cabo una tarea. Comience con un conjunto mínimo de permisos y conceda permisos adicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que son muy poco estrictos e intentar hacerlos más estrictos más adelante. Concretamente, reserve
ivs:*
para el acceso de administrador y no lo utilice en aplicaciones. -
Habilite la Multi-Factor Authentication (MFA) para operaciones confidenciales: para mayor seguridad, exija a los usuarios de IAM que utilicen la autenticación multifactor (MFA) para acceder a recursos u operaciones de API confidenciales.
-
Utilice condiciones de política para mayor seguridad: en la medida en que sea práctico, defina las condiciones en las que las políticas basadas en la identidad permiten el acceso a un recurso. Por ejemplo, puede escribir condiciones para especificar un rango de direcciones IP permitidas desde el que debe proceder una solicitud. También puede escribir condiciones para permitir solicitudes solo en un intervalo de hora o fecha especificado o para solicitar el uso de SSL o MFA.
Ejemplos de políticas basadas en identidad
Uso de la consola de Amazon IVS
Para obtener acceso a la consola de Amazon IVS, debe contar con un conjunto mínimo de permisos que permitan mostrar y ver detalles sobre los recursos de Amazon IVS de la cuenta de AWS. Si crea una política de permisos basados en la identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las identidades que posean esa política. Para garantizar el acceso a la consola de Amazon IVS, asocie la siguiente política a las identidades (consulte Agregado y eliminación de permisos de IAM en la Guía del usuario de IAM).
Las partes de la siguiente política proporcionan acceso a:
-
Todos los puntos de enlace de la API de Amazon IVS
-
Cuotas de servicio de Amazon IVS
-
Puntos de conexión de Amazon S3 necesarios para la funcionalidad de registro automático de IVS a S3 (transmisión de baja latencia) y la funcionalidad de registro compuesto IVS (transmisión en tiempo real).
-
Creación de rol asociado al servicio de registro automático a S3
-
Amazon Cloudwatch para obtener métricas de su sesión en directo
{ "Version": "2012-10-17", "Statement": [ { "Action": "ivs:*", "Effect": "Allow", "Resource": "*" }, { "Action": [ "servicequotas:ListServiceQuotas" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "s3:CreateBucket", "s3:DeleteBucketPolicy", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListAllMyBuckets", "s3:PutBucketPolicy" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "iam:AttachRolePolicy", "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/ivs.amazonaws.com/AWSServiceRoleForIVSRecordToS3*" }, { "Action": [ "cloudwatch:GetMetricData" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "lambda:AddPermission", "lambda:ListFunctions" ], "Effect": "Allow", "Resource": "*" } ] }
Permitir a los usuarios ver sus propios permisos
En este ejemplo se muestra una política que permite a los usuarios de IAM ver las políticas administradas e integradas que están asociadas a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola de AWS o mediante programación con la CLI de AWS o la API de AWS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam:*:*:user/${aws:username}" ] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Acceder a un canal de Amazon IVS
En este caso, desea conceder acceso a un usuario de IAM de su cuenta de AWS a uno de sus canales de Amazon IVS, VgNkEJgOVX9N
. También desea permitir que el usuario detenga la secuencia (ivs:StopStream
), agregue metadatos (ivs:PutMetadata
) y actualice el canal (ivs:UpdateChannel
). La política también concede los permisos requeridos por la consola de Amazon IVS: ivs:ListChannels
, ivs:ListStreams
, ivs:GetChannel
y ivs:GetStream
.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ListChannelsInConsole", "Effect":"Allow", "Action":[ "ivs:ListChannels", "ivs:ListStreams" ], "Resource":"arn:aws:ivs:*:*:channel/*" }, { "Sid":"ViewSpecificChannelInfo", "Effect":"Allow", "Action":[ "ivs:GetChannel", "ivs:GetStream" ], "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N" }, { "Sid":"ManageChannel", "Effect":"Allow", "Action":[ "ivs:StopStream", "ivs:PutMetadata", "ivs:UpdateChannel" ], "Resource":"arn:aws:ivs:*:*:channel/VgNkEJgOVX9N" } ] }
Consultar los canales de Amazon IVS basados en etiquetas
Puede utilizar condiciones en la política basada en la identidad para controlar el acceso a los recursos de Amazon IVS basados en etiquetas. En este ejemplo se muestra una política que permite visualizar un canal. Esta política también concede los permisos necesarios para llevar a cabo esta acción en la consola de Amazon IVS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListWidgetsInConsole", "Effect": "Allow", "Action": "ivs:ListChannels", "Resource": "arn:aws:ivs:*:*:channel/*" }, { "Sid": "ViewChannelIfOwner", "Effect": "Allow", "Action": "ivs:GetChannel", "Resource": "arn:aws:ivs:*:*:channel/*", "Condition": { "StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"} } } ] }
También puede asociar esta política al usuario de IAM en su cuenta. Sin embargo, los permisos solo se conceden si la etiqueta del canal muestra ese nombre de usuario como propietario. Si un usuario llamado richard-roe intenta visualizar un canal de Amazon IVS, el canal debe estar etiquetado como Owner=richard-roe
o owner=richard-roe
, o de lo contrario se le denegará el acceso. (La clave de la etiqueta de condición Owner
coincide con Owner
y owner
porque los nombres de las claves de condición no distinguen entre mayúsculas y minúsculas.
Resolución de problemas
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que es posible encontrar cuando se trabaja con Amazon IVS y IAM.
-
No tengo autorización para realizar una acción en Amazon IVS.
El error del siguiente ejemplo se produce cuando el usuario de IAM mateojackson intenta utilizar la consola de AWS para ver detalles sobre una canal, pero no tiene permisos
ivs:GetChannel
.User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ivs:GetChannel on resource: arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso
arn:aws:ivs:us-west-2:123456789012:channel/VgNkEJgOVX9N
mediante la acciónivs:GetChannel
. -
Quiero ver mis claves de acceso
Después de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso en cualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave de acceso secreta, debe crear un nuevo par de claves de acceso. Las claves de acceso se componen de dos partes:
-
Un ID de clave de acceso (por ejemplo,
AKIAIOSFODNN7EXAMPLE
) -
Una clave de acceso secreta (por ejemplo,
wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
)
El ID de clave de acceso y la clave de acceso secreta se utilizan juntos para autenticar solicitudes, como el nombre de usuario y la contraseña. Administre sus claves de acceso con el mismo nivel de seguridad que para el nombre de usuario y la contraseña.
Importante: No proporcione las claves de acceso a terceros, ni siquiera para que lo ayuden a buscar el ID de usuario canónico. Si lo hace, podría estar concediendo a otra persona acceso permanente a la cuenta.
Cuando cree un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento en que se crea. Si pierde la clave de acceso secreta, debe agregar nuevas claves de acceso a su usuario de IAM.
Puede tener como máximo dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de claves antes de crear uno nuevo. Consulte Administración de claves de acceso para usuarios de IAM en la Guía del usuario de IAM.
-
-
Soy administrador y deseo permitir que otras personas accedan a Amazon IVS.
Para permitir que otras personas accedan a Amazon IVS, debe crear una entidad de IAM (usuario o rol) para la persona o aplicación que necesita acceso. Esta persona o aplicación utilizará las credenciales de esa entidad para acceder a AWS. A continuación, debe asociar una política a la entidad que concede los permisos adecuados en Amazon IVS.
Para comenzar de inmediato, consulte Creación del primer grupo y usuario delegado de IAM en la Guía del usuario de IAM.
-
Deseo permitir que personas ajenas a mi cuenta de AWS accedan a mis recursos de Amazon IVS.
Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso (ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos. Para obtener información relacionada, consulte estas secciones de la Guía del usuario de IAM:
Para aprender... Consulte… Cómo proporcionar acceso a los recursos a través de las cuentas de AWS que posee Proporcionar acceso a un usuario de IAM a otra cuenta de AWS que posee
Cómo proporcionar acceso a sus recursos a cuentas de AWS de terceros Proporcionar acceso a las cuentas de AWS de propiedad de terceros
Cómo proporcionar acceso a través de identidad federada Proporcionar acceso a usuarios autenticados externamente (federación de identidades)
Diferencia entre la utilización de roles y políticas basados en recursos para el acceso entre cuentas