¿Qué son las políticas? - AWS RoboMaker

Aviso de fin del soporte: el 10 de septiembre de 2025, AWS dejaremos de ofrecer soporte a AWS RoboMaker. Después del 10 de septiembre de 2025, ya no podrás acceder a la AWS RoboMaker consola ni a AWS RoboMaker los recursos. Para obtener más información sobre la transición para ayudar AWS Batch a ejecutar simulaciones en contenedores, visite esta entrada de blog.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué son las políticas?

AWS Para controlar el acceso, puede crear políticas y adjuntarlas a las identidades o los recursos de IAM. AWS

nota

Para comenzar a usar esta característica rápidamente, revise la información introductoria de Autenticación y control de acceso de AWS RoboMaker y, a continuación, consulte Introducción a IAM.

Una política es un objeto AWS que, cuando se asocia a una entidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando un director, como un usuario, realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan AWS como documentos JSON.

Las políticas de IAM definen permisos para una acción independientemente del método que se utiliza para realizar la operación. Por ejemplo, si una política permite la GetUseracción, un usuario con esa política puede obtener la información del usuario de la AWS Management Console AWS CLI, la API o la AWS API. Cuando se crea un usuario de IAM, se puede configurar para permitirle o el acceso a la consola o el acceso mediante programación. Los usuarios de IAM pueden iniciar sesión en la consola con un nombre de usuario y una contraseña. O bien pueden utilizar claves de acceso para trabajar con la CLI o la API.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Políticas no compatibles con AWS RoboMaker

Las políticas basadas en recursos y las listas de control de acceso (ACLs) no son compatibles con. AWS RoboMaker Para más información, consulte la sección Políticas de IAM en la Guía del usuario de IAM.

Políticas basadas en identidad

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

  • Asociar una política de permisos a un usuario o un grupo de su cuenta: para conceder a permisos de usuario para crear un recurso de AWS RoboMaker , como una aplicación de robot, puede asociar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.

  • Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas): puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de la cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta (por ejemplo, la AWS cuenta B) o a un AWS servicio de la siguiente manera:

    1. El administrador de la Cuenta A crea un rol de IAM y adjunta una política de permisos al rol que concede permisos sobre los recursos de la Cuenta A.

    2. El administrador de la cuenta A asocia una política de confianza al rol que identifica la cuenta B como la entidad principal que puede asumir el rol.

    3. De este modo, el administrador de la cuenta B puede delegar los permisos para asumir el rol en cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B pueden crear o acceder a los recursos de la cuenta A. El principal de la política de confianza también puede ser un director de AWS servicio si desea conceder permisos a un AWS servicio para asumir el rol.

    Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Clasificaciones de nivel de acceso de las políticas

En la consola de IAM, las acciones se agrupan utilizando las siguientes clasificaciones de nivel de acceso:

  • Lista: concede permiso para enumerar los recursos dentro del servicio con el fin de determinar si existe un objeto. Las acciones con este nivel de acceso pueden enumerar objetos pero no pueden ver el contenido de un recurso. La mayoría de acciones cuyo nivel de acceso es List (Lista) no se puede llevar a cabo en un recurso específico. Al crear una declaración de política con estas acciones, debe especificar All resources (Todos los recursos) ("*").

  • Lectura: concede permiso para leer, pero no editar, el contenido y los atributos de los recursos del servicio. Por ejemplo, las acciones de Amazon S3 GetObject y GetBucketLocation tienen el nivel de acceso Lectura.

  • Escritura: concede permiso para crear, eliminar o modificar los recursos del servicio. Por ejemplo, las acciones de Amazon S3 CreateBucket, DeleteBucket y PutObject tienen el nivel de acceso de lectura.

  • Administración de permisos: concede permiso para conceder o modificar permisos en el nivel de recursos del servicio. Por ejemplo, la mayoría de las acciones de las políticas de IAM y AWS Organizations tienen el nivel de acceso de administración de permisos.

    Sugerencia

    Para mejorar la seguridad de su AWS cuenta, restrinja o supervise periódicamente las políticas que incluyen la clasificación de los niveles de acceso a la administración de permisos.

  • Etiquetado: concede permiso para crear, eliminar o modificar las etiquetas que se asocian a un recurso del servicio. Por ejemplo, Amazon EC2 CreateTags y DeleteTags las acciones tienen el nivel de acceso al etiquetado.