Recursos y operaciones Titularidad de los recursos Administración del acceso a los recursos Especificar elementos de política: acciones, efectos y entidades principales Especificación de las condiciones de una política

Tras considerarlo detenidamente, hemos decidido interrumpir Amazon Kinesis Data Analytics SQL para aplicaciones en dos pasos:

1. A partir del 15 de octubre de 2025, no podrá crear nuevos Kinesis Data Analytics SQL para aplicaciones.

2. Eliminaremos sus aplicaciones a partir del 27 de enero de 2026. No podrá iniciar ni utilizar Amazon Kinesis Data Analytics SQL para aplicaciones. A partir de ese momento, el soporte para Amazon Kinesis Data Analytics dejará SQL de estar disponible. Para obtener más información, consulte Suspensión de Amazon Kinesis Data Analytics SQL for Applications.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general sobre la administración de los permisos de acceso a los recursos de

aviso

Para proyectos nuevos, le recomendamos que utilice el nuevo servicio gestionado para Apache Flink Studio en lugar de para SQL aplicaciones. El servicio gestionado para Apache Flink Studio combina la facilidad de uso con capacidades analíticas avanzadas, lo que le permite crear aplicaciones sofisticadas de procesamiento de flujos en cuestión de minutos.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
Usuarios gestionados IAM a través de un proveedor de identidad:

Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
IAMusuarios:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.

nota

Un administrador de cuentas (o usuario administrador) es un usuario que tiene privilegios de administrador. Para obtener más información, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.

Temas

Recursos y operaciones
Titularidad de los recursos
Administración del acceso a los recursos
Especificar elementos de política: acciones, efectos y entidades principales
Especificación de las condiciones de una política

Recursos y operaciones

En , el recurso principal es una aplicación. En una política, se utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política.

Estos recursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos, como se muestra en la siguiente tabla.

Tipo de recurso	ARNFormato
Aplicación	`arn:aws:kinesisanalytics:region:account-id:application/application-name`

proporciona un conjunto de operaciones para trabajar con recursos. Para ver la lista de las operaciones disponibles, consulte Acciones.

Titularidad de los recursos

Cuenta de AWS Es propietario de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario del recurso es el Cuenta de AWS de la entidad principal (es decir, la cuenta raíz, un usuario o un IAM rol) que autentica la solicitud de creación del recurso. Los siguientes ejemplos ilustran cómo funciona:

Si utiliza las credenciales de su cuenta raíz Cuenta de AWS para crear una aplicación, Cuenta de AWS es el propietario del recurso. (En , el recurso es una aplicación).
Si crea un usuario en su Cuenta de AWS cuenta y le concede permisos para crear una aplicación, el usuario podrá crear una aplicación. Sin embargo, usted Cuenta de AWS, al que pertenece el usuario, es el propietario del recurso de la aplicación. Le recomendamos encarecidamente que conceda permisos a los roles y no a los usuarios.
Si crea un IAM rol en su cuenta Cuenta de AWS con permisos para crear una aplicación, cualquier persona que pueda asumir el rol podrá crear una aplicación. El suyo Cuenta de AWS, al que pertenece el usuario, es el propietario del recurso de la aplicación.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se analiza el uso IAM en el contexto de. No se proporciona información detallada acerca del servicio IAM. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las IAMJSONpolíticas, consulte la referencia de políticas en la Guía del IAM usuario.

Las políticas que se asocian a una identidad de IAM se denominan políticas basadas en la identidad (políticas de IAM). Las políticas adjuntas a un recurso se denominan políticas basadas en recursos. Solo admite políticas basadas en la identidad (políticas). IAM

Temas

Políticas basadas en identidad (políticas IAM)
Políticas basadas en recursos

Políticas basadas en identidad (políticas IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

Asociar una política de permisos a un usuario o un grupo de su cuenta: para conceder a permisos de usuario para crear un recurso, como una aplicación, puede asociar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.
Asociar una política de permisos a un rol (conceder permisos entre cuentas): puede asociar una política de permisos basada en identidad a un rol de IAM para conceder permisos entre cuentas. Por ejemplo, el administrador de la cuenta A puede crear un rol para conceder permisos entre cuentas a otro Cuenta de AWS (por ejemplo, la cuenta B) o a un servicio de Amazon de la siguiente manera:
1. El administrador de la cuenta A crea un rol de IAM y asocia una política de permisos a dicho rol, que concede permisos sobre los recursos de la cuenta A.
2. El administrador de la cuenta A asocia una política de confianza al rol que identifica la cuenta B como la entidad principal que puede asumir el rol.
3. A continuación, el administrador de la cuenta B puede delegar permisos para asumir el rol a cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B podrán crear recursos y obtener acceso a ellos en la cuenta A. La entidad principal de la política de confianza también puede ser la entidad principal de un servicio de si desea conceder permisos para asumir el rol a un servicio de Amazon.
Para obtener más información sobre cómo IAM delegar permisos, consulta la sección Gestión del acceso en la Guía del IAM usuario.

A continuación, se ofrece una política de ejemplo que concede permiso para la acción kinesisanalytics:CreateApplication , que es necesario para crear una aplicación.

nota

Esta es una política de ejemplo introductorio. Al adjuntar la política al usuario, este podrá crear una aplicación con AWS CLI o AWS SDK. Sin embargo, el usuario necesitará más permisos para configurar la entrada y la salida. Además, el usuario deberá obtener más permisos al utilizar la consola. En las secciones posteriores se proporciona más información al respecto.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1473028104000",
            "Effect": "Allow",
            "Action": [
                "kinesisanalytics:CreateApplication"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Para obtener más información acerca del uso de políticas basadas en identidades con , consulte Uso de políticas basadas en la identidad (políticas) IAM para . Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAM usuario.

Políticas basadas en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. no admite políticas basadas en recursos.

Especificar elementos de política: acciones, efectos y entidades principales

Para cada recurso, el servicio define un conjunto de API operaciones. Para conceder permisos para estas API operaciones, define un conjunto de acciones que puede especificar en una política. Algunas API operaciones pueden requerir permisos para más de una acción para poder realizar la API operación. Para obtener más información sobre los recursos y API las operaciones, consulte Recursos y operaciones yAcciones.

A continuación se indican los elementos más básicos de la política:

Recurso: utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte Recursos y operaciones.
Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, puede utilizar create para permitir a los usuarios crear una aplicación.
Efecto: especifique el efecto, permitir o denegar, cuando el usuario solicite la acción específica. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.
Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está vinculada la política es el principal implícito. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia IAM JSON de políticas en la Guía del IAM usuario.

Para ver una en la que se muestran todas las API operaciones y los recursos a los que se aplican, consulte APIPermisos: referencia sobre acciones, permisos y recursos.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar las condiciones en un lenguaje de políticas, consulte Condición en la Guía del IAM usuario.

Cómo expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para . Sin embargo, hay claves AWS de condición generales que puede utilizar según convenga. Para obtener una lista completa de las claves AWS de ancho, consulte las claves disponibles para las condiciones en la Guía del IAMusuario.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Autenticación y control de acceso

Usar políticas basadas en identidad (políticas de IAM)