Identity and Access Management para Savings Plans - Savings Plans
Estructura de la políticaPolíticas administradas de AWSEjemplos de políticas

Identity and Access Management para Savings Plans

AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos de AWS. Como administrador, puede crear roles en su cuenta de AWS que sus usuarios pueden utilizar. Controla los permisos que tienen sus usuarios para realizar tareas con recursos de AWS. Puede utilizar IAM sin cargo adicional.

De forma predeterminada, los usuarios no tienen permisos para los recursos y las operaciones de Savings Plans. Para permitir a los usuarios administrar los recursos de Savings Plans, debe crear un rol para delegar permisos a un usuario. Siga las instrucciones de Creación de un rol para un usuario en la Guía del usuario de IAM.

Estructura de la política

Una política de IAM es un documento JSON que contiene una o varias instrucciones. Cada instrucción tiene la estructura siguiente.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

Una instrucción está compuesta por varios elementos:

  • Effect: el valor de effect puede ser Allow o Deny. De forma predeterminada, los usuarios no tienen permiso para utilizar los recursos y las acciones de la API, por lo que se deniegan todas las solicitudes. Si se concede un permiso explícito se anula el valor predeterminado. Una denegación explícita invalida cualquier permiso concedido.

  • Action: el valor de action es la acción de la API para la que concede o deniega permisos.

  • Resource: el recurso al que afecta la acción. Algunas acciones de la API de Amazon EC2 permiten incluir en la política recursos específicos que la acción puede crear o modificar. Para especificar un recurso en la instrucción, debe usar el nombre de recurso de Amazon (ARN). Para obtener más información, consulte Acciones definidas por Savings Plans.

  • Condition: las condiciones son opcionales. Se pueden usar para controlar cuándo está en vigor la política. Para obtener más información, consulte Claves de condición para Savings Plans.

Políticas administradas de AWS

Las políticas administradas creadas por AWS conceden los permisos necesarios para casos de uso comunes. Una vez creado un rol, que su usuario pueda asumir, puede adjuntarle su política en función del acceso necesario. Cada política concede acceso a todas o algunas de las acciones de la API de Savings Plans.

Las siguientes son las políticas gestionadas de AWS de Savings Plans:

  • AWSSavingsPlansFullAccess: otorga acceso total a Savings Plans.

  • AWSSavingsPlansReadOnlyAccess: concede acceso de solo lectura a Savings Plans.

Ejemplos de políticas

En una instrucción de política de IAM, puede especificar cualquier acción de API de cualquier servicio que sea compatible con IAM. Para Savings Plans, use el prefijo siguiente con el nombre de la acción de API: savingsplans:. Por ejemplo:

  • savingsplans:CreateSavingsPlan

  • savingsplans:DescribeSavingsPlans

Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:

"Action": ["savingsplans:action1", "savingsplans:action2"]

También puede utilizar caracteres comodín para especificar varias acciones. Por ejemplo, puede especificar todas las acciones de API de Savings Plans cuyo nombre comience por la palabra "Describe" del siguiente modo:

"Action": "savingsplans:Describe*"

Para especificar todas las acciones de API de Savings Plans, use el carácter comodín * del siguiente modo:

"Action": "savingsplans:*"