Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en identidad para Amazon Location Service
De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar los recursos de Amazon Location. Tampoco pueden realizar tareas con AWS Management Console, AWS Command Line Interface (AWS CLI) o. AWS API Para conceder a los usuarios permiso para realizar acciones en los recursos que necesitan, un IAM administrador puede crear IAM políticas. A continuación, el administrador puede añadir las IAM políticas a las funciones y los usuarios pueden asumir las funciones.
Para obtener información sobre cómo crear una política IAM basada en la identidad mediante estos documentos de JSON política de ejemplo, consulte Creación de IAM políticas en la Guía del IAMusuario.
Para obtener más información sobre las acciones y los tipos de recursos definidos por Amazon Location, incluido el ARNs formato de cada uno de los tipos de recursos, consulte Acciones, recursos y claves de condición de Amazon Location Service en la Referencia de autorización del servicio.
Temas
- Prácticas recomendadas sobre las políticas
- Uso de la consola de Amazon Location
- Cómo permitir a los usuarios consultar sus propios permisos
- Uso de los recursos de Amazon Location Service en la política
- Permisos para actualizar las posiciones de los dispositivos
- Política de solo lectura para los recursos del rastreador
- Política de creación de geocercas
- Política de solo lectura para geocercas
- Permisos para renderizar un recurso de mapa
- Permisos para permitir las operaciones de búsqueda
- Política de solo lectura para calculadoras de rutas
- Controle el acceso a los recursos en función de las claves de condición
- Controlar el acceso a los recursos en función de las etiquetas
Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon Location de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Para obtener más información, consulte las políticas AWS gestionadas o las políticas AWS gestionadas para las funciones laborales en la Guía del IAM usuario.
-
Aplique permisos con privilegios mínimos: cuando establezca permisos con IAM políticas, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Para obtener más información sobre cómo IAM aplicar permisos, consulte Políticas y permisos IAM en la IAM Guía del usuario.
-
Utilice las condiciones en IAM las políticas para restringir aún más el acceso: puede añadir una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse medianteSSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte los elementos IAM JSON de la política: Condición en la Guía del IAM usuario.
-
Utilice IAM Access Analyzer para validar sus IAM políticas y garantizar permisos seguros y funcionales: IAM Access Analyzer valida las políticas nuevas y existentes para que se ajusten al lenguaje de las políticas (JSON) y IAM a las IAM mejores prácticas. IAMAccess Analyzer proporciona más de 100 comprobaciones de políticas y recomendaciones prácticas para ayudarle a crear políticas seguras y funcionales. Para obtener más información, consulte la validación de políticas de IAM Access Analyzer en la Guía del IAM usuario.
-
Requerir autenticación multifactorial (MFA): si se encuentra en una situación en la que se requieren IAM usuarios o un usuario raíz Cuenta de AWS, actívela MFA para aumentar la seguridad. Para solicitarlo MFA cuando se convoque a API las operaciones, añada MFA condiciones a sus políticas. Para obtener más información, consulte Configuración del API acceso MFA protegido en la Guía del IAM usuario.
Para obtener más información sobre las prácticas recomendadasIAM, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.
Uso de la consola de Amazon Location
Para acceder a la consola de Amazon Location Service, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirte enumerar y ver detalles sobre los recursos de Amazon Location que tienes en tu cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que realicen llamadas únicamente al AWS CLI o al AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la API operación que están intentando realizar.
Para asegurarse de que los usuarios y los roles puedan seguir utilizando la consola de Amazon Location, asocie también a las siguiente política administrada a las entidades. Para obtener más información, consulte Añadir permisos a un usuario en la Guía del IAM usuario.
La siguiente política da acceso a la consola de Amazon Location Service para poder crear, eliminar, enumerar y ver detalles sobre los recursos de Amazon Location en su cuenta de AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GeoPowerUser", "Effect": "Allow", "Action": [ "geo:*" ], "Resource": "*" } ] }
Como alternativa, puede conceder permisos de solo lectura para facilitar el acceso de solo lectura. Con los permisos de solo lectura, aparecerá un mensaje de error si el usuario intenta realizar acciones de escritura, como crear o eliminar recursos. Para ver un ejemplo, consulte Política de solo lectura para los recursos del rastreador
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo se muestra cómo se puede crear una política que permita a IAM los usuarios ver las políticas integradas y administradas asociadas a su identidad de usuario. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la tecla o. AWS CLI AWS API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Uso de los recursos de Amazon Location Service en la política
Amazon Location Service utiliza los siguientes prefijos para los recursos:
| Recurso | Prefijo de recurso |
|---|---|
| Recursos de mapas | map |
| Recursos de sitios | place-index |
| Recursos de ruta | route-calculator |
| Recursos de rastreo | tracker |
| Recursos de la colección de geocerca | geofence-collection |
Utilice la siguiente sintaxis: ARN
arn:Partition:geo:Region:Account:ResourcePrefix/ResourceName
Para obtener más información sobre el formato deARNs, consulte Amazon Resource Names (ARNs) y AWS Service Namespaces.
Ejemplos
-
Utilice lo siguiente ARN para permitir el acceso a un recurso de mapa específico.
"Resource": "arn:aws:geo:us-west-2:account-id:map/map-resource-name" -
Para especificar el acceso a todos los recursos de
mapque pertenecen a una cuenta específica, utilice el carácter comodín (*):"Resource": "arn:aws:geo:us-west-2:account-id:map/*" -
Algunas acciones de Amazon Location, como las que se utilizan para crear recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).
"Resource": "*"
Para ver una lista de los tipos de recursos de Amazon Location y sus tiposARNs, consulte Recursos definidos por Amazon Location Service en la Referencia de autorización del servicio. Para saber con qué acciones puede especificar cada recurso, consulte Actions Defined by Amazon Location Service. ARN
Permisos para actualizar las posiciones de los dispositivos
Para actualizar las posiciones de los dispositivos de varios rastreadores, querrá conceder a un usuario acceso a uno o más de sus recursos de seguimiento. También querrá permitir que el usuario actualice un lote de posiciones de dispositivos.
En este ejemplo, además de conceder acceso al Tracker1 y Tracker2 recursos, la siguiente política otorga permiso para utilizar la geo:BatchUpdateDevicePosition acción contra el Tracker1 y Tracker2 recursos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:account-id:tracker/Tracker1", "arn:aws:geo:us-west-2:account-id:tracker/Tracker2" ] } ] }
Si quiere limitar al usuario a que solo pueda actualizar las posiciones de los dispositivos de un dispositivo específico, puede agregar una clave de condición para el identificador de ese dispositivo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:account-id:tracker/Tracker1", "arn:aws:geo:us-west-2:account-id:tracker/Tracker2" ], "Condition":{ "ForAllValues:StringLike":{ "geo:DeviceIds":[ "deviceId" ] } } } ] }
Política de solo lectura para los recursos del rastreador
Para crear una política de solo lectura para todos los recursos del rastreador de tu AWS cuenta, tendrás que conceder el acceso a todos los recursos del rastreador. También querrá conceder a los usuarios acceso a las acciones que les permitan obtener la posición del dispositivo en varios dispositivos, obtener la posición del dispositivo desde un único dispositivo y obtener el historial de posiciones.
En este ejemplo, la siguiente política concede permisos para las siguientes acciones:
-
geo:BatchGetDevicePositionpara recuperar la posición de varios dispositivos. -
geo:GetDevicePositionpara recuperar la posición de un solo dispositivo. -
geo:GetDevicePositionHistorypara recuperar el historial de posición de un dispositivo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchGetDevicePosition", "geo:GetDevicePosition", "geo:GetDevicePositionHistory" ], "Resource": "arn:aws:geo:us-west-2:account-id:tracker/*" } ] }
Política de creación de geocercas
Para crear una política que permita a un usuario crear geocercas, tendrá que conceder acceso a acciones específicas que permitan a los usuarios crear una o más geocercas en una colección de geocercas.
La siguiente política autoriza las siguientes acciones en Collection:
-
geo:BatchPutGeofencepara crear varias geocercas. -
geo:PutGeofencepara crear una geocerca única.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateGeofences", "Effect": "Allow", "Action": [ "geo:BatchPutGeofence", "geo:PutGeofence" ], "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection" } ] }
Política de solo lectura para geocercas
Para crear una política de solo lectura para las geocercas almacenadas en una colección de geocercas de su cuenta de AWS , tendrá que conceder acceso a las acciones que lean datos de la colección de geocercas que almacena las geocercas.
La siguiente política autoriza las siguientes acciones en Collection:
-
geo:ListGeofencespara enumerar las geocercas de la colección de geocercas especificada. -
geo:GetGeofencepara recuperar una geocerca de la colección de geocercas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetGeofences", "Effect": "Allow", "Action": [ "geo:ListGeofences", "geo:GetGeofence" ], "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection" } ] }
Permisos para renderizar un recurso de mapa
Para conceder los permisos necesarios para renderizar los mapas, tendrás que conceder acceso a las mosaicos, los sprites, los glifos y el descriptor de estilo del mapa:
-
geo:GetMapTilerecupera las mosaicos del mapa que se utilizan para renderizar de forma selectiva las entidades de un mapa. -
geo:GetMapSpritesrecupera la hoja de PNG sprites y el JSON documento correspondiente que describe las compensaciones que contiene. -
geo:GetMapGlyphsrecupera los archivos Glyph utilizados para mostrar el texto. -
geo:GetMapStyleDescriptorrecupera el descriptor de estilo del mapa, que contiene las reglas de renderizado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetTiles", "Effect": "Allow", "Action": [ "geo:GetMapTile", "geo:GetMapSprites", "geo:GetMapGlyphs", "geo:GetMapStyleDescriptor" ], "Resource": "arn:aws:geo:us-west-2:account-id:map/Map" } ] }
Permisos para permitir las operaciones de búsqueda
Para crear una política que permita las operaciones de búsqueda, primero tendrás que conceder acceso al recurso de indexación de sitios de tu cuenta. AWS También querrá conceder acceso a las acciones que permitan al usuario buscar con texto mediante geocodificación y buscar con una posición mediante geocodificación inversa.
En este ejemplo, además de conceder acceso a PlaceIndex, la siguiente política también permite realizar las siguientes acciones:
-
geo:SearchPlaceIndexForPositionpermite buscar lugares o puntos de interés cercanos a una posición determinada. -
geo:SearchPlaceIndexForTextpermite buscar una dirección, un nombre, una ciudad o una región mediante texto de formato libre.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Search", "Effect": "Allow", "Action": [ "geo:SearchPlaceIndexForPosition", "geo:SearchPlaceIndexForText" ], "Resource": "arn:aws:geo:us-west-2:account-id:place-index/PlaceIndex" } ] }
Política de solo lectura para calculadoras de rutas
Puede crear una política de solo lectura para permitir que un usuario acceda a un recurso de calculadora de rutas para calcular una ruta.
En este ejemplo, además de conceder acceso a ExampleCalculator, la siguiente política concede permiso a la siguiente operación:
-
geo:CalculateRoutecalcula una ruta con una posición de salida, una posición de destino y una lista de posiciones de puntos de referencia.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoutesReadOnly", "Effect": "Allow", "Action": [ "geo:CalculateRoute" ], "Resource": "arn:aws:geo:us-west-2:accountID:route-calculator/ExampleCalculator" } ] }
Controle el acceso a los recursos en función de las claves de condición
Al crear una IAM política para conceder acceso al uso de geovallas o posiciones de los dispositivos, puede utilizar los operadores de condición para controlar con mayor precisión a qué geovallas o dispositivos puede acceder un usuario. Para ello, incluye el identificador de la geocerca o el identificador del dispositivo en el elemento Condition de la política.
En el siguiente ejemplo se muestra cómo puede crear una política que permita a un usuario actualizar las posiciones de un dispositivo específico.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:account-id:tracker/Tracker" ], "Condition":{ "ForAllValues:StringLike":{ "geo:DeviceIds":[ "deviceId" ] } } } ] }
Controlar el acceso a los recursos en función de las etiquetas
Cuando creas una IAM política para conceder acceso al uso de tus recursos de Amazon Location, puedes usar el control de acceso basado en atributos para controlar mejor los recursos que un usuario puede modificar, usar o eliminar. Para ello, incluya información sobre las etiquetas en el elemento Condition de su política para controlar el acceso en función de las etiquetas de sus recursos.
En el siguiente ejemplo de política se muestra cómo puede crear una política que permita a un usuario crear geocercas. Esto permite realizar las siguientes acciones para crear una o más geocercas en una colección de geovallas denominada Collection:
-
geo:BatchPutGeofencepara crear varias geocercas. -
geo:PutGeofencepara crear una geocerca única.
Sin embargo, esta política utiliza el Condition elemento para conceder el permiso solo si Collection tag,Owner, tiene el valor del nombre de usuario de ese usuario.
-
Por ejemplo, si un usuario llamado
richard-roeintenta ver una ubicación de AmazonCollection, elCollectiondebe estar etiquetadoOwner=richard-roeoowner=richard-roe. De lo contrario, se deniega el acceso al usuario.nota
La clave de la etiqueta de condición
Ownercoincide con los nombres de las claves de condiciónOwneryownerporque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte Elementos IAM JSON de política: condición en la Guía del IAM usuario.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateGeofencesIfOwner", "Effect": "Allow", "Action": [ "geo:BatchPutGeofence", "geo:PutGeofence" ], "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection", "Condition": { "StringEquals": {"geo:ResourceTag/Owner": "${aws:username}"} } } ] }
Para ver un tutorial sobre cómo definir los permisos de acceso a AWS los recursos en función de las etiquetas, consulte la Guía del AWS Identity and Access Management usuario.
