Administrar permisos en AWS RAM - AWS Resource Access Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar permisos en AWS RAM

En AWS RAM, existen dos tipos de permisos administrados, los permisos administrados de AWS y los permisos administrados por el cliente.

Los permisos administrados definen la forma en que una entidad consumidora puede actuar en los recursos de un recurso compartido. Al crear un recurso compartido, debe especificar qué permiso administrado desea usar para cada tipo de recurso incluido en el recurso compartido. La plantilla de política del permiso administrado contiene todo lo necesario para una política basada en recursos, excepto la entidad principal y el recurso. El nombre de recurso de Amazon (ARN) del recurso y el ARN de las entidades principales asociadas al recurso compartido completan los elementos de una política basada en recursos. AWS RAM crea entonces la política basada en recursos que se adjunta a todos los recursos de dicho recurso compartido.

Cada permiso administrado puede tener una o más versiones. Se designa una versión como versión predeterminada del permiso administrado. En ocasiones, AWS actualiza un permiso administrado de AWS para un tipo de recurso creando una nueva versión y designándola como versión predeterminada. También puede actualizar sus permisos administrados por el cliente creando versiones nuevas. Los permisos administrados que ya están adjuntos a un recurso compartido no se actualizan automáticamente. La consola de AWS RAM indica cuándo hay disponible una nueva versión predeterminada; usted puede revisar qué cambios incorpora la nueva versión predeterminada respecto de la anterior.

nota

Le recomendamos que actualice a la nueva versión del permiso administrado de AWS lo antes posible. Por lo general, estas actualizaciones añaden compatibilidad para Servicios de AWS nuevos o actualizados que pueden compartir tipos de recursos adicionales utilizando AWS RAM. Una nueva versión predeterminada también puede abordar y corregir vulnerabilidades de seguridad.

importante

A un recurso compartido nuevo solo se le puede adjuntar la versión predeterminada del permiso administrado.

Puede recuperar la lista de los permisos administrados disponibles en cualquier momento. Para obtener más información, consulte Ver permisos administrados.

Cómo funcionan los permisos administrados

Para obtener una descripción general breve, vea el siguiente vídeo, que incluye una demostración de cómo los permisos administrados le permiten aplicar las prácticas recomendadas de acceso con privilegio mínimo a sus recursos de AWS.

En este vídeo se ofrece una demostración de cómo crear y asociar permisos administrados por el cliente siguiendo las prácticas recomendadas de privilegio mínimo. Para obtener más información, consulte, Crear y usar permisos administrados por el cliente en AWS RAM.

Al crear un recurso compartido, se asocia un permiso administrado de AWS a cada tipo de recurso que se desea compartir. Si el permiso administrado tiene más de una versión, el nuevo recurso compartido siempre usa la versión designada como predeterminada.

Tras crear el recurso compartido, AWS RAM utiliza el permiso administrado para generar una política basada en recursos que se adjunta a cada recurso compartido.

La plantilla de política de un permiso administrado especifica lo siguiente:

Efecto

Indica si se debe Allow o Deny el permiso a la entidad principal para realizar una operación en un recurso compartido. En el caso de un permiso administrado, el efecto es siempre Allow. Para obtener más información, consulte Efecto en la Guía del usuario de IAM.

Acción

La lista de operaciones para las que se concede permiso a la entidad principal. Puede tratarse de una acción en la AWS Management Console o de una operación en la AWS Command Line Interface (AWS CLI) o en la API de AWS. Las acciones las define el permiso de AWS. Para obtener más información, consulte Acción en la Guía del usuario de IAM.

Condición

Cuándo y cómo una entidad principal puede interactuar con un recurso de un recurso compartido. Las condiciones añaden un nivel adicional de seguridad a los recursos compartidos. Úselas para limitar el acceso a sus recursos compartidos para realizar acciones confidenciales. Por ejemplo, puede incluir condiciones que exijan que las acciones se originen en un determinado rango de direcciones IP corporativas, o que las acciones las realicen usuarios autenticados mediante autenticación multifactorial. Para obtener más información acerca de las condiciones, consulte Claves de contexto de condición globales de AWS en la Guía del usuario de IAM. Para obtener más información acerca de las condiciones específicas del servicio, consulte Acciones, recursos y claves de condición de los servicios de AWS en la Referencia de autorizaciones de servicio.

nota

Hay condiciones disponibles para los permisos administrados por el cliente y los tipos de recursos compatibles para los permisos administrados de AWS.

Para obtener información sobre las condiciones que están excluidas del uso con permisos administrados por el cliente, consulte Consideraciones sobre el uso de permisos gestionados por el cliente en AWS RAM.

Tipos de permisos administrados

Al crear un recurso compartido, se selecciona un permiso administrado para asociarlo a cada tipo de recurso incluido en el recurso compartido. Los permisos administrados de AWS los define el servicio propietario del recurso de AWS y los administra AWS RAM. Usted se encarga de crear y mantener sus propios permisos administrados por el cliente.

  • Permiso administrado de AWS: hay un permiso administrado disponible para cada tipo de recurso admitido por AWS RAM. El permiso administrado predeterminado es el que se usa para un tipo de recurso, a menos que se seleccione explícitamente uno de los permisos administrados adicionales. El permiso administrado predeterminado está diseñado para admitir los escenarios de cliente más frecuentes a la hora de compartir recursos del tipo especificado. El permiso administrado predeterminado permite a las entidades principales realizar acciones específicas definidas por el servicio para el tipo de recurso. Por ejemplo, para el tipo de recurso ec2:Subnet de Amazon VPC, el permiso administrado predeterminado permite a las entidades principales realizar las siguientes acciones:

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    Los nombres de los permisos administrados predeterminados de AWS utilizan el siguiente formato: AWSRAMDefaultPermissionShareableResourceType. Por ejemplo, para el tipo de recurso ec2:Subnet, el nombre del permiso administrado predeterminado de AWS es AWSRAMDefaultPermissionSubnet.

    nota

    El permiso administrado predeterminado es independiente de la versión predeterminada de un permiso administrado. Todos los permisos administrados, ya sea el predeterminado o uno de los permisos administrados adicionales que admiten algunos tipos de recursos, son permisos independientes y completos con diferentes efectos y acciones que admiten diferentes escenarios de uso compartido, como el acceso de lectura y escritura o de solo lectura. Cualquier permiso administrado, ya sea administrado por AWS o por el cliente, puede tener varias versiones, una de las cuales será la versión predeterminada de dicho permiso.

    Por ejemplo, si comparte un tipo de recurso que admite tanto un permiso administrado de acceso total (Read y Write) como un permiso administrado de solo lectura, puede crear un recurso compartido para el administrador con el permiso administrado de acceso completo. A continuación, puede crear un recurso compartido distinto para otros desarrolladores utilizando el permiso administrado de solo lectura y, de este modo, seguir la práctica de conceder el privilegio mínimo.

    nota

    Todos los servicios de AWS que funcionan con AWS RAM admiten al menos un permiso administrado predeterminado. Puede ver los permisos disponibles para cada Servicio de AWS en la página de la Biblioteca de permisos administrados. En esta página se proporcionan detalles sobre cada permiso administrado disponible, incluidos los recursos compartidos que están actualmente asociados al permiso y, cuando corresponda, si se permite el uso compartido con entidades principales externas. Para obtener más información, consulte Ver permisos administrados.

    En el caso de los servicios que no admitan permisos administrados adicionales, al crear un recurso compartido, AWS RAM aplica automáticamente el permiso predeterminado definido para el tipo de recurso seleccionado. Cuando esté permitido, también tendrá la opción de elegir Crear un permiso administrado por el cliente en la página Asociar permisos administrados.

  • Permiso administrado por el cliente: los permisos administrados por el cliente son permisos administrados que usted crea y mantiene especificando con precisión qué acciones se pueden realizar, y en qué condiciones, en los recursos que se comparten utilizando AWS RAM. Por ejemplo, digamos que desea limitar el acceso de lectura a sus grupos del Administrador de direcciones IP (IPAM) de Amazon VPC, que le ayudan a administrar sus direcciones IP a gran escala. Puede crear permisos administrados por el cliente para que sus desarrolladores asignen direcciones IP, pero no ver el rango de direcciones IP que asignan otras cuentas de desarrollador. Puede seguir las prácticas recomendadas de privilegio mínimo para conceder únicamente los permisos necesarios para realizar tareas en los recursos compartidos.