Aviso de fin del soporte: el 10 de septiembre de 2025, AWS
dejaremos de ofrecer soporte a AWS RoboMaker. Después del 10 de septiembre de 2025, ya no podrás acceder a la AWS RoboMaker consola ni a AWS RoboMaker los recursos. Para obtener más información sobre la transición para ayudar AWS Batch a ejecutar simulaciones en contenedores, visite esta entrada de blog.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autenticación y control de acceso de AWS RoboMaker
AWS Identity and Access Management (IAM) es un AWS servicio que ayuda a un administrador a controlar de forma segura el acceso a AWS RoboMaker los recursos. Los administradores IAM lo utilizan para controlar quién está autenticado (ha iniciado sesión) y quién está autorizado (tiene permisos) para usar AWS RoboMaker los recursos. IAMes una función de tu AWS cuenta que se ofrece sin coste adicional.
importante
Para comenzar a usar esta característica rápidamente, revise la información introductoria de esta página y, a continuación, consulte Empezando con IAM y ¿Qué son las políticas?.
Temas
Introducción a la autorización y al control de acceso
AWS RoboMaker está integrado con AWS Identity and Access Management (IAM), que ofrece una amplia gama de funciones:
-
Cree usuarios y grupos en su Cuenta de AWS.
-
Comparta fácilmente sus AWS recursos entre los usuarios de su Cuenta de AWS.
-
Asignación de credenciales de seguridad exclusivas a los usuarios.
-
Control del acceso de los usuarios a los servicios y recursos.
-
Obtención de una sola factura para todos los usuarios de su Cuenta de AWS.
Para obtener más información al respectoIAM, consulte lo siguiente:
Permisos necesarios
Para usar AWS RoboMaker o administrar la autorización y el control de acceso para usted o para otras personas, debe tener los permisos correctos.
Permisos necesarios para usar la consola de AWS RoboMaker
Para acceder a la AWS RoboMaker consola, debe tener un conjunto mínimo de permisos que le permita enumerar y ver los detalles de los AWS RoboMaker recursos de su AWS cuenta. Si crea una política de permisos basados en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades que tengan esa política.
Para acceder a la AWS RoboMaker consola en modo de solo lectura, usa la AWSRoboMakerReadOnlyAccesspolítica.
Si un IAM usuario quiere crear un trabajo de simulación, debe concederle iam:PassRole el permiso. Para obtener más información sobre la transferencia de un rol, consulte Concesión de permisos a un usuario para transferir un rol a un AWS servicio.
Por ejemplo, puede asociar la siguiente política a un usuario. Concede permiso para crear un trabajo de simulación:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/S3AndCloudWatchAccess" } ] }
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas al AWS CLI o al AWS API. En su lugar, solo necesita los permisos que coincidan con la API operación que intenta realizar.
Se requieren permisos para ver los mundos AWS RoboMaker en la consola
Puedes conceder los permisos necesarios para ver AWS RoboMaker los mundos en la AWS RoboMaker consola adjuntando la siguiente política a un usuario:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker: DescribeWorld" ], "Resource": "*", "Effect": "Allow" } ] }
Permisos necesarios para utilizar las herramientas de simulación de AWS RoboMaker
El IAM usuario o rol utilizado para crear la simulación tendrá automáticamente permiso para acceder a las herramientas de simulación. Si se trata de un rol o usuario diferente, tiene que tener el privilegio robomaker:CreateSimulationJob.
Permisos necesarios para administrar la autenticación
Para administrar sus propias credenciales, como la contraseña, las claves de acceso y los dispositivos de autenticación multifactorial (MFA), el administrador debe concederle los permisos necesarios. Para ver la política que incluye estos permisos, consulte Cómo permitir a los usuarios que administren sus propias credenciales.
Como AWS administrador, necesita acceso total para IAM poder crear y administrar usuarios, grupos, funciones y políticas. IAM Debe utilizar la política AdministratorAccess
aviso
Solo un usuario administrador debe tener acceso completo a AWS. Cualquier persona que tenga esta política dispondrá de permiso para administrar totalmente la autenticación y el control de acceso, además de para modificar todos los recursos de AWS. Para obtener más información sobre cómo crear este usuario, consulte Cree su usuario IAM administrador.
Permisos requeridos para el control de acceso
Si el administrador le proporcionó las credenciales IAM de usuario, adjuntará políticas a su IAM usuario para controlar los recursos a los que puede acceder. Para ver las políticas asociadas a su usuario en AWS Management Console, debe tener los siguientes permisos:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Si necesita permisos adicionales, pida a su administrador que actualice las políticas de tal forma que pueda tener acceso a las acciones que necesita.
Permisos necesarios para trabajos de simulación
Al crear un trabajo de simulación, debe tener un IAM rol con los permisos que se indican a continuación.
-
Sustituya
amzn-s3-demo-source-bucketpor el nombre del bucket que contenga los paquetes de las aplicaciones de robot y simulación. -
Sustituya
amzn-s3-demo-destination-bucketpara que apunte al depósito donde se AWS RoboMaker escribirán los archivos de salida. -
Sustituya
account#por su número de cuenta.
Los ECR trabajos públicos requieren permisos independientes, por ejemplo ecr-public:GetAuthorizationTokensts:GetServiceBearerToken, y cualquier otro permiso necesario para la implementación final. Para obtener más información, consulta las políticas de repositorios públicos en la Guía del ECR usuario de Amazon.
La política debe estar asociada a un rol con la política de confianza siguiente.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }
Las claves de condición evitan que un AWS servicio se utilice como un sustituto confuso durante las transacciones entre servicios. Consulte SourceAccounty SourceArnpara obtener información adicional sobre las claves de estado.
Permisos necesarios para usar etiquetas desde una ROS aplicación o línea de ROS comandos
Puede etiquetar, desetiquetar y enumerar las etiquetas de su trabajo de simulación desde la ROS línea de comandos o en la ROS aplicación mientras se está ejecutando. Debe tener un IAM rol con los permisos que se indican a continuación. Sustituya account# por su número de cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker:TagResource", "robomaker:UntagResource", "robomaker:ListTagsForResource", ], "Resource": [ "arn:aws:robomaker:*:account#:simulation-job*" ], "Effect": "Allow" } ] }
La política debe estar asociada a un rol con la siguiente política de confianza:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account#" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*" } } } }
Las claves de condición evitan que un AWS servicio se utilice como un intermediario confuso durante las transacciones entre servicios. Consulte SourceAccounty SourceArnpara obtener información adicional sobre las claves de estado.
Entender cómo AWS RoboMaker funciona con IAM
Los servicios pueden funcionar IAM de varias maneras:
-
Acciones: AWS RoboMaker apoya el uso de acciones en una política. Esto permite que un administrador controle si una entidad puede completar una operación de AWS RoboMaker. Por ejemplo, para permitir que una entidad vea una política al realizar la
GetPolicyAWS API operación, el administrador debe adjuntar una política que permita laiam:GetPolicyacción. -
Permiso de nivel de recursos: AWS RoboMaker no es compatible con los permisos de nivel de recursos. Los permisos a nivel de recursos permiten ARNsespecificar recursos individuales en la política. Como AWS RoboMaker no admite esta función, debe elegir Todos los recursos en el editor visual de políticas. En un documento JSON de política, debe utilizarlos
*en elResourceelemento. -
Autorización basada en etiquetas: AWS RoboMaker es compatible con la autorización basada en etiquetas. Esta característica le permite utilizar etiquetas de recursos en la condición de una política.
-
Credenciales temporales AWS RoboMaker es compatible con credenciales temporales. Esta función le permite iniciar sesión con una federación, asumir un IAM rol o asumir un rol multicuenta. Para obtener credenciales de seguridad temporales, puede llamar a AWS STS API operaciones como AssumeRoleo GetFederationToken.
-
Roles vinculados a servicios: AWS RoboMaker es compatible con los roles de servicio. Esta característica permite que un servicio asuma un rol vinculado a un servicio en nombre de usted. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados al servicio aparecen en su IAM cuenta y son propiedad del servicio. Un IAM administrador puede ver los permisos de los roles vinculados al servicio, pero no editarlos.
-
Roles de servicio: AWS RoboMaker es compatible con los roles de servicio. Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en tu IAM cuenta y son propiedad de la cuenta. Esto significa que un IAM administrador puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Solución de problemas de autenticación y control de acceso
Utilice la siguiente información como ayuda para diagnosticar y solucionar problemas comunes que puedan surgir al trabajar con ellosIAM.
Temas
No estoy autorizado a realizar ninguna acción en AWS RoboMaker
Si recibe un mensaje de error AWS Management Console que indica que no está autorizado a realizar una acción, debe ponerse en contacto con el administrador que le proporcionó su nombre de usuario y contraseña.
El siguiente ejemplo de error se produce cuando un IAM usuario llamado my-user-name intenta usar la consola para realizar la CreateRobotApplication acción, pero no tiene permisos.
User: arn:aws:iam::123456789012:user/my-user-nameis not authorized to perform:aws-robomaker:CreateRobotApplicationon resource:my-example-robot-application
En este ejemplo, debe pedir al administrador que actualice sus políticas para que pueda obtener acceso al recurso my-example-robot-application a través de la acción aws-robomaker:CreateRobotApplication.
Soy administrador y quiero permitir que otras personas accedan AWS RoboMaker
Para permitir el acceso de otras personas, AWS RoboMaker debe crear una IAM entidad (usuario o rol) para la persona o aplicación a la que necesita acceso. Esta persona utilizará las credenciales de la entidad para acceder a AWS. A continuación, debe asociar una política a la entidad que le conceda los permisos correctos en AWS RoboMaker.
Para comenzar trabajar enseguida, consulte Empezando con IAM.
