Aviso de fin del soporte: el 10 de septiembre de 2025, AWS
dejaremos de ofrecer soporte a AWS RoboMaker. Después del 10 de septiembre de 2025, ya no podrás acceder a la AWS RoboMaker consola ni a AWS RoboMaker los recursos. Para obtener más información sobre la transición para ayudar AWS Batch a ejecutar simulaciones en contenedores, visite esta entrada de blog.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autenticación y control de acceso de AWS RoboMaker
AWS Identity and Access Management (IAM) es un AWS servicio que ayuda al administrador a controlar de forma segura el acceso a los AWS RoboMaker recursos. Los administradores utilizan la IAM para controlar quién está autenticado (ha iniciado sesión) y quién está autorizado (tiene permisos) para usar los recursos. AWS RoboMaker La IAM es una función de tu AWS cuenta que se ofrece sin coste adicional.
importante
Para comenzar a usar esta característica rápidamente, revise la información introductoria de esta página y, a continuación, consulte Introducción a IAM y ¿Qué son las políticas?.
Temas
Introducción a la autorización y al control de acceso
AWS RoboMaker está integrado con AWS Identity and Access Management (IAM), que ofrece una amplia gama de funciones:
-
Cree usuarios y grupos en su. Cuenta de AWS
-
Comparta fácilmente sus AWS recursos entre los usuarios de su Cuenta de AWS.
-
Asignación de credenciales de seguridad exclusivas a los usuarios.
-
Control del acceso de los usuarios a los servicios y recursos.
-
Obtención de una sola factura para todos los usuarios de su Cuenta de AWS.
Para obtener más información sobre IAM, consulte lo siguiente:
Permisos necesarios
Para usar AWS RoboMaker o administrar la autorización y el control de acceso para usted o para otras personas, debe tener los permisos correctos.
Permisos necesarios para usar la consola de AWS RoboMaker
Para acceder a la AWS RoboMaker consola, debe tener un conjunto mínimo de permisos que le permita enumerar y ver los detalles de los AWS RoboMaker recursos de su AWS cuenta. Si crea una política de permisos basados en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades que tengan esa política.
Para acceder a la AWS RoboMaker consola en modo de solo lectura, usa la AWSRoboMakerReadOnlyAccesspolítica.
Si un usuario de IAM desea crear un trabajo de simulación, debe concederle el permiso de iam:PassRole
para que pueda hacerlo. Para obtener más información sobre la transmisión de roles, consulte Concesión de permisos a un usuario para transferir un rol a un servicio de AWS.
Por ejemplo, puede asociar la siguiente política a un usuario. Concede permiso para crear un trabajo de simulación:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/S3AndCloudWatchAccess" } ] }
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En este caso, solamente se necesitan los permisos correspondientes a la operación de la API que se intenta realizar.
Se requieren permisos para ver los mundos AWS RoboMaker en la consola
Puedes conceder los permisos necesarios para ver AWS RoboMaker los mundos en la AWS RoboMaker consola adjuntando la siguiente política a un usuario:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker: DescribeWorld" ], "Resource": "*", "Effect": "Allow" } ] }
Permisos necesarios para utilizar las herramientas de simulación de AWS RoboMaker
El rol o usuario de IAM que se utilice para crear la simulación tendrá permiso de forma automática para acceder a las herramientas de simulación. Si se trata de un rol o usuario diferente, tiene que tener el privilegio robomaker:CreateSimulationJob
.
Permisos necesarios para administrar la autenticación
Para administrar sus propias credenciales, tales como su contraseña, claves de acceso y dispositivos Multi-Factor Authentication (MFA), el administrador debe concederle los permisos necesarios. Para ver la política que incluye estos permisos, consulte Cómo permitir a los usuarios que administren sus propias credenciales.
Como AWS administrador, necesita acceso total a IAM para poder crear y gestionar usuarios, grupos, funciones y políticas en IAM. Debe utilizar la política AdministratorAccess
aviso
Solo un usuario administrador debe tener acceso completo a AWS. Cualquier persona que tenga esta política dispondrá de permiso para administrar totalmente la autenticación y el control de acceso, además de para modificar todos los recursos de AWS. Para obtener más información sobre cómo crear este usuario, consulte Creación de un usuario administrador de IAM.
Permisos requeridos para el control de acceso
Si el administrador le ha proporcionado credenciales de usuario de IAM, estas habrán asociado políticas a ese usuario de IAM para controlar a qué recursos puede tener acceso. Para ver las políticas adjuntas a su usuario en AWS Management Console, debe tener los siguientes permisos:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:
username
}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Si necesita permisos adicionales, pida a su administrador que actualice las políticas de tal forma que pueda tener acceso a las acciones que necesita.
Permisos necesarios para trabajos de simulación
Los trabajos de simulación, cuando se crean, deben tener un rol de IAM con los permisos siguientes.
-
Sustituya
amzn-s3-demo-source-bucket
por el nombre del bucket que contenga los paquetes de las aplicaciones de robot y simulación. -
Reemplace
amzn-s3-demo-destination-bucket
para que apunte al depósito donde se AWS RoboMaker escribirán los archivos de salida. -
Sustituya
account#
por su número de cuenta.
Los trabajos de Public ECR requieren permisos independientes, por ejemplo, ecr-public:GetAuthorizationToken
, sts:GetServiceBearerToken
, u otros que sean necesarios para la implementación final. Para más información, consulte las Políticas de repositorio público en la Guía del usuario Amazon ECR Public.
La política debe estar asociada a un rol con la política de confianza siguiente.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account#
" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region
:account#
:simulation-job/*" } } } }
Las claves de condición evitan que se utilicen los servicios de AWS como sustitutos confusos durante las transacciones entre servicios. Consulte SourceAccounty SourceArnpara obtener información adicional sobre las claves de condición.
Permisos necesarios para utilizar las etiquetas de una aplicación de ROS o una línea de comandos de ROS
Puede añadir, eliminar y publicar etiquetas en su trabajo de simulación desde la línea de comandos de ROS o en su aplicación de ROS cuando está en marcha. Debe disponer de un rol de IAM con los permisos que se detallan a continuación. Sustituya account#
por su número de cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker:TagResource", "robomaker:UntagResource", "robomaker:ListTagsForResource", ], "Resource": [ "arn:aws:robomaker:*:
account#
:simulation-job*" ], "Effect": "Allow" } ] }
La política debe estar asociada a un rol con la siguiente política de confianza:
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "Service": "robomaker.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "
account#
" // Account where the simulation job resource is created }, "StringEquals": { "aws:SourceArn": "arn:aws:robomaker:region
:account#
:simulation-job/*" } } } }
Las claves de condición evitan que se utilicen los servicios de AWS como sustitutos confusos durante las transacciones entre servicios. Consulte SourceAccounty SourceArnpara obtener información adicional sobre las claves de condición.
Comprenda cómo AWS RoboMaker funciona con IAM
Los servicios pueden funcionar con IAM de varias maneras:
-
Acciones: AWS RoboMaker admite el uso de acciones en una política. Esto permite que un administrador controle si una entidad puede completar una operación de AWS RoboMaker. Por ejemplo, para permitir que una entidad vea una política al realizar la operación de la
GetPolicy
AWS API, el administrador debe adjuntar una política que permita laiam:GetPolicy
acción. -
Permiso de nivel de recursos: AWS RoboMaker no es compatible con los permisos de nivel de recursos. Los permisos a nivel de recursos te permiten ARNsespecificar recursos individuales en la política. Como AWS RoboMaker no admite esta función, debe elegir Todos los recursos en el editor visual de políticas. En un documento de política JSON, debe utilizar
*
en el elementoResource
. -
Autorización basada en etiquetas: AWS RoboMaker es compatible con la autorización basada en etiquetas. Esta característica le permite utilizar etiquetas de recursos en la condición de una política.
-
Credenciales temporales AWS RoboMaker es compatible con credenciales temporales. Esta característica permite iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones de AWS STS API como AssumeRoleo GetFederationToken.
-
Roles vinculados a servicios: AWS RoboMaker es compatible con los roles de servicio. Esta característica permite que un servicio asuma un rol vinculado a un servicio en nombre de usted. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puedes ver, pero no editar, los permisos de los roles vinculados a servicios.
-
Roles de servicio: AWS RoboMaker es compatible con los roles de servicio. Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en la cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Solución de problemas de autenticación y control de acceso
Utilice la información siguiente para diagnosticar y solucionar los problemas más comunes que pueden surgir cuando trabaje con IAM.
Temas
No estoy autorizado a realizar ninguna acción en AWS RoboMaker
Si recibe un mensaje de error AWS Management Console que indica que no está autorizado a realizar una acción, debe ponerse en contacto con el administrador que le proporcionó su nombre de usuario y contraseña.
El siguiente ejemplo de error se produce cuando un usuario de IAM denominado my-user-name intenta utilizar la consola para realizar la CreateRobotApplication acción, pero no tiene permisos.
User: arn:aws:iam::
123456789012
:user/my-user-name
is not authorized to perform:aws-robomaker:CreateRobotApplication
on resource:my-example-robot-application
En este ejemplo, debe pedir al administrador que actualice sus políticas para que pueda obtener acceso al recurso my-example-robot-application
a través de la acción aws-robomaker:CreateRobotApplication
.
Soy administrador y quiero permitir que otras personas accedan AWS RoboMaker
Para permitir el acceso de otras personas, AWS RoboMaker debe crear una entidad de IAM (usuario o rol) para la persona o aplicación a la que necesita acceso. Esta persona utilizará las credenciales de la entidad para acceder a AWS. A continuación, debe asociar una política a la entidad que le conceda los permisos correctos en AWS RoboMaker.
Para comenzar trabajar enseguida, consulte Introducción a IAM.