Autenticación y control de acceso de AWS RoboMaker - AWS RoboMaker

Aviso de fin del soporte: el 10 de septiembre de 2025, AWS dejaremos de ofrecer soporte a AWS RoboMaker. Después del 10 de septiembre de 2025, ya no podrás acceder a la AWS RoboMaker consola ni a AWS RoboMaker los recursos. Para obtener más información sobre la transición para ayudar AWS Batch a ejecutar simulaciones en contenedores, visite esta entrada de blog.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación y control de acceso de AWS RoboMaker

AWS Identity and Access Management (IAM) es un AWS servicio que ayuda al administrador a controlar de forma segura el acceso a los AWS RoboMaker recursos. Los administradores utilizan la IAM para controlar quién está autenticado (ha iniciado sesión) y quién está autorizado (tiene permisos) para usar los recursos. AWS RoboMaker La IAM es una función de tu AWS cuenta que se ofrece sin coste adicional.

importante

Para comenzar a usar esta característica rápidamente, revise la información introductoria de esta página y, a continuación, consulte Introducción a IAM y ¿Qué son las políticas?.

Temas

Introducción a la autorización y al control de acceso

AWS RoboMaker está integrado con AWS Identity and Access Management (IAM), que ofrece una amplia gama de funciones:

  • Cree usuarios y grupos en su. Cuenta de AWS

  • Comparta fácilmente sus AWS recursos entre los usuarios de su Cuenta de AWS.

  • Asignación de credenciales de seguridad exclusivas a los usuarios.

  • Control del acceso de los usuarios a los servicios y recursos.

  • Obtención de una sola factura para todos los usuarios de su Cuenta de AWS.

Para obtener más información sobre IAM, consulte lo siguiente:

Permisos necesarios

Para usar AWS RoboMaker o administrar la autorización y el control de acceso para usted o para otras personas, debe tener los permisos correctos.

Permisos necesarios para usar la consola de AWS RoboMaker

Para acceder a la AWS RoboMaker consola, debe tener un conjunto mínimo de permisos que le permita enumerar y ver los detalles de los AWS RoboMaker recursos de su AWS cuenta. Si crea una política de permisos basados en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades que tengan esa política.

Para acceder a la AWS RoboMaker consola en modo de solo lectura, usa la AWSRoboMakerReadOnlyAccesspolítica.

Si un usuario de IAM desea crear un trabajo de simulación, debe concederle el permiso de iam:PassRole para que pueda hacerlo. Para obtener más información sobre la transmisión de roles, consulte Concesión de permisos a un usuario para transferir un rol a un servicio de AWS.

Por ejemplo, puede asociar la siguiente política a un usuario. Concede permiso para crear un trabajo de simulación:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/S3AndCloudWatchAccess" } ] }

No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En este caso, solamente se necesitan los permisos correspondientes a la operación de la API que se intenta realizar.

Se requieren permisos para ver los mundos AWS RoboMaker en la consola

Puedes conceder los permisos necesarios para ver AWS RoboMaker los mundos en la AWS RoboMaker consola adjuntando la siguiente política a un usuario:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker: DescribeWorld" ], "Resource": "*", "Effect": "Allow" } ] }

Permisos necesarios para utilizar las herramientas de simulación de AWS RoboMaker

El rol o usuario de IAM que se utilice para crear la simulación tendrá permiso de forma automática para acceder a las herramientas de simulación. Si se trata de un rol o usuario diferente, tiene que tener el privilegio robomaker:CreateSimulationJob.

Permisos necesarios para administrar la autenticación

Para administrar sus propias credenciales, tales como su contraseña, claves de acceso y dispositivos Multi-Factor Authentication (MFA), el administrador debe concederle los permisos necesarios. Para ver la política que incluye estos permisos, consulte Cómo permitir a los usuarios que administren sus propias credenciales.

Como AWS administrador, necesita acceso total a IAM para poder crear y gestionar usuarios, grupos, funciones y políticas en IAM. Debe utilizar la política AdministratorAccess AWS gestionada que incluye el acceso total a todos ellos. AWS Esta política no proporciona acceso a la AWS Billing and Cost Management consola ni permite tareas que requieran credenciales de usuario root. Para más información, consulte Tareas de AWS que requieren credenciales de usuario raíz Cuenta de AWS en Referencia general de AWS.

aviso

Solo un usuario administrador debe tener acceso completo a AWS. Cualquier persona que tenga esta política dispondrá de permiso para administrar totalmente la autenticación y el control de acceso, además de para modificar todos los recursos de AWS. Para obtener más información sobre cómo crear este usuario, consulte Creación de un usuario administrador de IAM.

Permisos requeridos para el control de acceso

Si el administrador le ha proporcionado credenciales de usuario de IAM, estas habrán asociado políticas a ese usuario de IAM para controlar a qué recursos puede tener acceso. Para ver las políticas adjuntas a su usuario en AWS Management Console, debe tener los siguientes permisos:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Si necesita permisos adicionales, pida a su administrador que actualice las políticas de tal forma que pueda tener acceso a las acciones que necesita.

Permisos necesarios para trabajos de simulación

Los trabajos de simulación, cuando se crean, deben tener un rol de IAM con los permisos siguientes.

  • Sustituya amzn-s3-demo-source-bucket por el nombre del bucket que contenga los paquetes de las aplicaciones de robot y simulación.

  • Reemplace amzn-s3-demo-destination-bucket para que apunte al depósito donde se AWS RoboMaker escribirán los archivos de salida.

  • Sustituya account# por su número de cuenta.

Los trabajos de Public ECR requieren permisos independientes, por ejemplo, ecr-public:GetAuthorizationToken, sts:GetServiceBearerToken, u otros que sean necesarios para la implementación final. Para más información, consulte las Políticas de repositorio público en la Guía del usuario Amazon ECR Public.

Jobs with Private ECR images
{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:ListBucket", "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket" ], "Effect": "Allow" }, { "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket/*" ], "Effect": "Allow" }, { "Action": "s3:Put*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Effect": "Allow" }, { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:account#:log-group:/aws/robomaker/SimulationJobs*" ], "Effect": "Allow" }, { "Action": [ "ecr:BatchGetImage", "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer" ], "Resource": "arn:partition:ecr:region:account#:repository/repository_name", "Effect": "Allow" } ] }
Jobs with Public ECR images
{ "Version": "2012-10-17", "Statement": [ { "Action": "s3:ListBucket", "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket" ], "Effect": "Allow" }, { "Action": [ "s3:Get*", "s3:List*" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-source-bucket/*" ], "Effect": "Allow" }, { "Action": "s3:Put*", "Resource": [ "arn:aws:s3:::amzn-s3-demo-destination-bucket/*" ], "Effect": "Allow" }, { "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:account#:log-group:/aws/robomaker/SimulationJobs*" ], "Effect": "Allow" }, { "Action": [ "ecr-public:GetAuthorizationToken", "sts:GetServiceBearerToken" ], "Resource": "*", "Effect": "Allow" } ] }

La política debe estar asociada a un rol con la política de confianza siguiente.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }

Las claves de condición evitan que se utilicen los servicios de AWS como sustitutos confusos durante las transacciones entre servicios. Consulte SourceAccounty SourceArnpara obtener información adicional sobre las claves de condición.

Permisos necesarios para utilizar las etiquetas de una aplicación de ROS o una línea de comandos de ROS

Puede añadir, eliminar y publicar etiquetas en su trabajo de simulación desde la línea de comandos de ROS o en su aplicación de ROS cuando está en marcha. Debe disponer de un rol de IAM con los permisos que se detallan a continuación. Sustituya account# por su número de cuenta.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker:TagResource", "robomaker:UntagResource", "robomaker:ListTagsForResource", ], "Resource": [ "arn:aws:robomaker:*:account#:simulation-job*" ], "Effect": "Allow" } ] }

La política debe estar asociada a un rol con la siguiente política de confianza:

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }

Las claves de condición evitan que se utilicen los servicios de AWS como sustitutos confusos durante las transacciones entre servicios. Consulte SourceAccounty SourceArnpara obtener información adicional sobre las claves de condición.

Comprenda cómo AWS RoboMaker funciona con IAM

Los servicios pueden funcionar con IAM de varias maneras:

  • Acciones: AWS RoboMaker admite el uso de acciones en una política. Esto permite que un administrador controle si una entidad puede completar una operación de AWS RoboMaker. Por ejemplo, para permitir que una entidad vea una política al realizar la operación de la GetPolicy AWS API, el administrador debe adjuntar una política que permita la iam:GetPolicy acción.

  • Permiso de nivel de recursos: AWS RoboMaker no es compatible con los permisos de nivel de recursos. Los permisos a nivel de recursos te permiten ARNsespecificar recursos individuales en la política. Como AWS RoboMaker no admite esta función, debe elegir Todos los recursos en el editor visual de políticas. En un documento de política JSON, debe utilizar * en el elemento Resource.

  • Autorización basada en etiquetas: AWS RoboMaker es compatible con la autorización basada en etiquetas. Esta característica le permite utilizar etiquetas de recursos en la condición de una política.

  • Credenciales temporales AWS RoboMaker es compatible con credenciales temporales. Esta característica permite iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones de AWS STS API como AssumeRoleo GetFederationToken.

  • Roles vinculados a servicios: AWS RoboMaker es compatible con los roles de servicio. Esta característica permite que un servicio asuma un rol vinculado a un servicio en nombre de usted. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puedes ver, pero no editar, los permisos de los roles vinculados a servicios.

  • Roles de servicio: AWS RoboMaker es compatible con los roles de servicio. Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en la cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.

Solución de problemas de autenticación y control de acceso

Utilice la información siguiente para diagnosticar y solucionar los problemas más comunes que pueden surgir cuando trabaje con IAM.

No estoy autorizado a realizar ninguna acción en AWS RoboMaker

Si recibe un mensaje de error AWS Management Console que indica que no está autorizado a realizar una acción, debe ponerse en contacto con el administrador que le proporcionó su nombre de usuario y contraseña.

El siguiente ejemplo de error se produce cuando un usuario de IAM denominado my-user-name intenta utilizar la consola para realizar la CreateRobotApplication acción, pero no tiene permisos.

User: arn:aws:iam::123456789012:user/my-user-name is not authorized to perform: aws-robomaker:CreateRobotApplication on resource: my-example-robot-application

En este ejemplo, debe pedir al administrador que actualice sus políticas para que pueda obtener acceso al recurso my-example-robot-application a través de la acción aws-robomaker:CreateRobotApplication.

Soy administrador y quiero permitir que otras personas accedan AWS RoboMaker

Para permitir el acceso de otras personas, AWS RoboMaker debe crear una entidad de IAM (usuario o rol) para la persona o aplicación a la que necesita acceso. Esta persona utilizará las credenciales de la entidad para acceder a AWS. A continuación, debe asociar una política a la entidad que le conceda los permisos correctos en AWS RoboMaker.

Para comenzar trabajar enseguida, consulte Introducción a IAM.