Otorgar acceso a las vistas de Resource Explorer para la búsqueda - Explorador de recursos de AWS
Uso de una autorización basada en etiquetas para controlar el acceso a sus vistas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Otorgar acceso a las vistas de Resource Explorer para la búsqueda

Antes de que los usuarios puedan realizar una búsqueda con una vista nueva, debe conceder acceso a las vistas de Explorador de recursos de AWS. Para ello, utilice una política de permisos basada en la identidad para las entidades principales de AWS Identity and Access Management (IAM) que necesiten realizar búsquedas con la vista.

Para proporcionar acceso, agregue permisos a sus usuarios, grupos o roles:

Puede usar cualquiera de los métodos siguientes:

  • Usar una política administrada de AWS existente. Resource Explorer proporciona varias políticas administradas de AWS predefinidas para su uso. Para obtener información detallada sobre todas las políticas administradas de AWS que están disponibles, consulte AWS políticas gestionadas para Explorador de recursos de AWS.

    Por ejemplo, puede usar la política AWSResourceExplorerReadOnlyAccess para conceder permisos de búsqueda a todas las vistas de la cuenta.

  • Cree su propia política de permisos y asígnela a las entidades principales. Si crea su propia política, puede restringir el acceso a una sola vista o a un subconjunto de las vistas disponibles especificando el nombre de recurso de Amazon (ARN) de cada vista en el elemento Resource de la declaración de política. Por ejemplo, puede usar la siguiente política de ejemplo para conceder a esa entidad principal la posibilidad de realizar búsquedas utilizando solo esa vista.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
        }
    ]
}

    Utilice la consola de IAM para crear esas políticas de permisos y utilizarlas con las entidades principales que necesitan esos permisos. Para obtener más información acerca de las políticas de permisos de IAM, consulte los siguientes temas:

Uso de una autorización basada en etiquetas para controlar el acceso a sus vistas

Si opta por crear varias vistas con filtros que devuelvan resultados solo con determinados recursos, puede que también desee restringir el acceso a esas vistas únicamente a las entidades principales que necesiten ver esos recursos. Puede proporcionar este tipo de seguridad a las vistas de su cuenta mediante una estrategia de control de acceso basado en atributos (ABAC). Los atributos que utiliza ABAC son las etiquetas adjuntas tanto a las entidades principales que intentan realizar operaciones en AWS, como a los recursos a los que intentan acceder.

ABAC utiliza políticas de permisos de IAM estándar adjuntas a las entidades principales. Las políticas utilizan elementos Condition en las instrucciones de políticas para permitir el acceso solo cuando las etiquetas adjuntas a la entidad principal solicitante y las etiquetas adjuntas al recurso afectado coinciden con los requisitos de la política.

Por ejemplo, puede adjuntar una etiqueta "Environment" = "Production" a todos los AWS recursos que admiten la aplicación de producción de su empresa. Para asegurarse de que solo las entidades principales que están autorizadas a acceder al entorno de producción puedan ver esos recursos, cree una vista de Resource Explorer que utilice esa etiqueta como filtro. A continuación, para restringir el acceso a la vista únicamente a las entidades principales correspondientes, debe conceder los permisos mediante una política que tenga una condición similar a la de los siguientes elementos del ejemplo.

{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}

Esa Condition en el ejemplo anterior especifica que la solicitud solo está permitida si la etiqueta Environment adjunta a la entidad principal que realiza la solicitud coincide con la etiqueta Environment adjunta al recurso especificado en la solicitud. Si esas dos etiquetas no coinciden exactamente o si falta alguna de ellas, Resource Explorer deniega la solicitud.

importante

Para utilizar ABAC correctamente y proteger el acceso a sus recursos, primero debe restringir el acceso a la posibilidad de añadir o modificar las etiquetas adjuntas a sus entidades principales y recursos. Si un usuario puede añadir o modificar las etiquetas adjuntas a una entidad principal o recurso de AWS, ese usuario puede afectar a los permisos controlados por esas etiquetas. En un entorno ABAC seguro, solo los administradores de seguridad aprobados tienen permiso para añadir o modificar las etiquetas adjuntas a las entidades principales, y solo los administradores de seguridad y los propietarios de los recursos pueden añadir o modificar las etiquetas adjuntas a los recursos.

Para obtener más información sobre cómo implementar correctamente una estrategia ABAC, consulte los siguientes temas en la Guía del usuario de IAM:

Una vez que tenga la infraestructura ABAC necesaria, puede comenzar a usar etiquetas para controlar quién puede realizar búsquedas con las vistas de Resource Explorer de su cuenta. Para ver ejemplos de políticas que ilustran este principio, consulte los siguientes ejemplos de políticas de permisos: