Aviso de fin del soporte: el 10 de septiembre de 2025, AWS
dejaremos de ofrecer soporte a AWS RoboMaker. Después del 10 de septiembre de 2025, ya no podrás acceder a la AWS RoboMaker consola ni a AWS RoboMaker los recursos. Para obtener más información sobre la transición para ayudar AWS Batch a ejecutar simulaciones en contenedores, visite esta entrada de blog.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
¿Qué son las políticas?
El acceso se controla AWS creando políticas y adjuntándolas a las IAM identidades o AWS los recursos.
nota
Para comenzar a usar esta característica rápidamente, revise la información introductoria de Autenticación y control de acceso de AWS RoboMaker y, a continuación, consulte Empezando con IAM.
Una política es un objeto AWS que, cuando se asocia a una entidad o recurso, define sus permisos. AWS evalúa estas políticas cuando un director, como un usuario, realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan AWS como JSON documentos.
IAMlas políticas definen los permisos para una acción independientemente del método que se utilice para realizar la operación. Por ejemplo, si una política permite la GetUseracción, un usuario con esa política puede obtener información del usuario del AWS Management Console AWS CLI, el o el AWS API. Al crear un IAM usuario, puede configurarlo para que permita el acceso a la consola o mediante programación. El IAM usuario puede iniciar sesión en la consola con un nombre de usuario y una contraseña. O bien, puede usar las teclas de acceso para trabajar con la tecla CLI oAPI.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
-
Usuarios gestionados IAM a través de un proveedor de identidad:
Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
-
IAMusuarios:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.
-
Políticas no compatibles con AWS RoboMaker
Las políticas basadas en recursos y las listas de control de acceso (ACLs) no son compatibles con. AWS RoboMaker Para obtener más información, consulte los tipos de políticas en la Guía del IAMusuario.
Políticas basadas en identidad
Puede adjuntar políticas a las IAM identidades. Por ejemplo, puede hacer lo siguiente:
-
Asociar una política de permisos a un usuario o un grupo de su cuenta: para conceder a permisos de usuario para crear un recurso de AWS RoboMaker , como una aplicación de robot, puede asociar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.
-
Adjuntar una política de permisos a un rol (conceder permisos multicuenta): puedes adjuntar una política de permisos basada en la identidad a un IAM rol para conceder permisos multicuenta. Por ejemplo, el administrador de la cuenta A puede crear un rol para conceder permisos multicuenta a otra cuenta (por ejemplo, la AWS cuenta B) o a un servicio de la siguiente manera: AWS
-
El administrador de la cuenta A crea un IAM rol y adjunta una política de permisos al rol que otorga permisos sobre los recursos de la cuenta A.
-
El administrador de la cuenta A asocia una política de confianza al rol que identifica la cuenta B como la entidad principal que puede asumir el rol.
-
De este modo, el administrador de la cuenta B puede delegar los permisos para que asuman la función en cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B pueden crear recursos de la cuenta B o acceder a ellos. El principal de la política de confianza también puede ser un director de AWS servicio si desea conceder permisos a un AWS servicio para que asuma el rol.
Para obtener más información sobre cómo IAM delegar permisos, consulte Administración del acceso en la Guía del IAM usuario.
-
Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAM usuario.
Clasificaciones de nivel de acceso de las políticas
En la IAM consola, las acciones se agrupan mediante las siguientes clasificaciones de nivel de acceso:
-
Lista: concede permiso para enumerar los recursos dentro del servicio con el fin de determinar si existe un objeto. Las acciones con este nivel de acceso pueden enumerar objetos pero no pueden ver el contenido de un recurso. La mayoría de acciones cuyo nivel de acceso es List (Lista) no se puede llevar a cabo en un recurso específico. Al crear una declaración de política con estas acciones, debe especificar All resources (Todos los recursos) (
"*"
). -
Lectura: concede permiso para leer, pero no editar, el contenido y los atributos de los recursos del servicio. Por ejemplo, las acciones de Amazon S3
GetObject
yGetBucketLocation
tienen el nivel de acceso Lectura. -
Escritura: concede permiso para crear, eliminar o modificar los recursos del servicio. Por ejemplo, las acciones de Amazon S3
CreateBucket
,DeleteBucket
yPutObject
tienen el nivel de acceso de lectura. -
Administración de permisos: concede permiso para conceder o modificar permisos en el nivel de recursos del servicio. Por ejemplo, la mayoría IAM de las acciones AWS Organizations políticas tienen el nivel de acceso a la administración de permisos.
Sugerencia
Para mejorar la seguridad de su AWS cuenta, restrinja o supervise periódicamente las políticas que incluyen la clasificación de los niveles de acceso a la administración de permisos.
-
Etiquetado: concede permiso para crear, eliminar o modificar las etiquetas que se asocian a un recurso del servicio. Por ejemplo, Amazon EC2
CreateTags
yDeleteTags
las acciones tienen el nivel de acceso al etiquetado.