Aviso de fin del soporte: el 10 de septiembre de 2025, AWS
dejaremos de ofrecer soporte a AWS RoboMaker. Después del 10 de septiembre de 2025, ya no podrás acceder a la AWS RoboMaker consola ni a AWS RoboMaker los recursos. Para obtener más información sobre la transición para ayudar AWS Batch a ejecutar simulaciones en contenedores, visite esta entrada de blog.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
¿Qué son las políticas?
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a las identidades o los recursos de IAM. AWS
nota
Para comenzar a usar esta característica rápidamente, revise la información introductoria de Autenticación y control de acceso de AWS RoboMaker y, a continuación, consulte Introducción a IAM.
Una política es un objeto AWS que, cuando se asocia a una entidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando un director, como un usuario, realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan AWS como documentos JSON.
Las políticas de IAM definen permisos para una acción independientemente del método que se utiliza para realizar la operación. Por ejemplo, si una política permite la GetUseracción, un usuario con esa política puede obtener la información del usuario de la AWS Management Console AWS CLI, la API o la AWS API. Cuando se crea un usuario de IAM, se puede configurar para permitirle o el acceso a la consola o el acceso mediante programación. Los usuarios de IAM pueden iniciar sesión en la consola con un nombre de usuario y una contraseña. O bien pueden utilizar claves de acceso para trabajar con la CLI o la API.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
Políticas no compatibles con AWS RoboMaker
Las políticas basadas en recursos y las listas de control de acceso (ACLs) no son compatibles con. AWS RoboMaker Para más información, consulte la sección Políticas de IAM en la Guía del usuario de IAM.
Políticas basadas en identidad
Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
-
Asociar una política de permisos a un usuario o un grupo de su cuenta: para conceder a permisos de usuario para crear un recurso de AWS RoboMaker , como una aplicación de robot, puede asociar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.
-
Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas): puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de la cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta (por ejemplo, la AWS cuenta B) o a un AWS servicio de la siguiente manera:
-
El administrador de la Cuenta A crea un rol de IAM y adjunta una política de permisos al rol que concede permisos sobre los recursos de la Cuenta A.
-
El administrador de la cuenta A asocia una política de confianza al rol que identifica la cuenta B como la entidad principal que puede asumir el rol.
-
De este modo, el administrador de la cuenta B puede delegar los permisos para asumir el rol en cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B pueden crear o acceder a los recursos de la cuenta A. El principal de la política de confianza también puede ser un director de AWS servicio si desea conceder permisos a un AWS servicio para asumir el rol.
Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.
-
Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.
Clasificaciones de nivel de acceso de las políticas
En la consola de IAM, las acciones se agrupan utilizando las siguientes clasificaciones de nivel de acceso:
-
Lista: concede permiso para enumerar los recursos dentro del servicio con el fin de determinar si existe un objeto. Las acciones con este nivel de acceso pueden enumerar objetos pero no pueden ver el contenido de un recurso. La mayoría de acciones cuyo nivel de acceso es List (Lista) no se puede llevar a cabo en un recurso específico. Al crear una declaración de política con estas acciones, debe especificar All resources (Todos los recursos) (
"*"
). -
Lectura: concede permiso para leer, pero no editar, el contenido y los atributos de los recursos del servicio. Por ejemplo, las acciones de Amazon S3
GetObject
yGetBucketLocation
tienen el nivel de acceso Lectura. -
Escritura: concede permiso para crear, eliminar o modificar los recursos del servicio. Por ejemplo, las acciones de Amazon S3
CreateBucket
,DeleteBucket
yPutObject
tienen el nivel de acceso de lectura. -
Administración de permisos: concede permiso para conceder o modificar permisos en el nivel de recursos del servicio. Por ejemplo, la mayoría de las acciones de las políticas de IAM y AWS Organizations tienen el nivel de acceso de administración de permisos.
Sugerencia
Para mejorar la seguridad de su AWS cuenta, restrinja o supervise periódicamente las políticas que incluyen la clasificación de los niveles de acceso a la administración de permisos.
-
Etiquetado: concede permiso para crear, eliminar o modificar las etiquetas que se asocian a un recurso del servicio. Por ejemplo, Amazon EC2
CreateTags
yDeleteTags
las acciones tienen el nivel de acceso al etiquetado.