Administración de identidades y acceso para Service Quotas - Service Quotas
Concesión de permisos mediante políticas de IAMAcciones de API para Service QuotasRecursos de Service QuotasPermisos de nivel de recursos para Service QuotasClaves de condición para Service QuotasPredefinidaAWSpolíticas gestionadas para Service Quotas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de identidades y acceso para Service Quotas

AWS utiliza credenciales de seguridad para identificarlo y concederle acceso a sus recursos de AWS. Puede utilizar las funciones deAWS Identity and Access Management(IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen suAWSrecursos en su totalidad o de forma limitada. Puede hacerlo sin compartir sus credenciales de seguridad.

De forma predeterminada, los usuarios de IAM no tienen permiso para crear, consultar ni modificar recursos de AWS. Para permitir que un usuario de IAM acceda a los recursos, por ejemplo, un balanceador de carga, y lleve a cabo tareas, lleve a cabo los siguientes pasos:

  1. Crear una política de IAM que conceda permiso al usuario de IAM para utilizar los recursos específicos y las acciones de la API que necesita.

  2. Asocie la política al usuario de IAM o al grupo al que pertenece el usuario de IAM.

Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.

Por ejemplo, puede utilizar IAM para crear usuarios y grupos enCuenta de AWS. Un usuario de IAM puede ser una persona, un sistema o una aplicación. A continuación, puede conceder permisos a los usuarios y grupos de tal forma que puedan llevar a cabo acciones concretas en determinados recursos especificados mediante una política de IAM.

Concesión de permisos mediante políticas de IAM

Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.

Una política de IAM es un documento JSON que contiene una o varias instrucciones. Cada instrucción se estructura, tal y como se muestra en el siguiente ejemplo.

{
  "Version": "2012-10-17",
  "Statement":[{
    "Effect": "effect",
    "Action": "action",
    "Resource": "resource-arn",
    "Condition": {
      "condition": {
        "key":"value"
      }
    }
  }]
}

  • Effect— El valor deeffectpuede serAllowoDeny. De forma predeterminada, los usuarios de IAM no tienen permiso para utilizar los recursos y las acciones de la API, por lo que se deniegan todas las solicitudes. Si se concede un permiso explícito se anula el valor predeterminado. Una denegación explícita invalida cualquier permiso concedido.

  • Action— El valor deactiones la acción específica de la API para la que concede o deniega permisos. Para obtener más información acerca de cómo especificarAction, consulteAcciones de API para Service Quotas.

  • Resource- El recurso que está afectada por la acción. Con algunas acciones de la API Service Quotas, puede restringir los permisos concedidos o denegados a una cuota específica. Para ello, especifique su nombre de recurso de Amazon (ARN) en esta instrucción. De lo contrario, puede utilizar el carácter comodín (*) para especificar todos los recursos Service Quotas. Para obtener más información, consulte Recursos de Service Quotas.

  • Condition: si lo desea, puede utilizar condiciones para controlar cuándo está en vigor la política. Para obtener más información, consulte Claves de condición para Service Quotas.

Para obtener más información, consulte la Guía del usuario de IAM.

Acciones de API para Service Quotas

En el navegadorActionelemento de su instrucción de política de IAM, puede especificar cualquier acción de API que ofrezca Service Quotas. El nombre de la acción debe llevar como prefijo la cadena en minúsculas servicequotas:, tal y como se muestra en el ejemplo siguiente.

"Action": "servicequotas:GetServiceQuota"

Para especificar varias acciones en una misma instrucción, inclúyalas entre corchetes y sepárelas por comas, tal y como se muestra en el siguiente ejemplo.

"Action": [
    "servicequotas:ListRequestedServiceQuotaChangeHistory",
    "servicequotas:ListRequestedServiceQuotaChangeHistoryByQuota"
]

También puede utilizar el carácter comodín para especificar varias acciones (*). En el siguiente ejemplo se especifican todos los nombres de acción de la API para Service Quotas que comienzan porGet.

"Action": "servicequotas:Get*"

Para especificar todas las acciones de API para Service Quotas, use el carácter comodín (*), como se muestra en el ejemplo siguiente.

"Action": "servicequotas:*"

Para obtener la lista de acciones de API para Service Quotas de, consulteAcciones de Service Quotas.

Recursos de Service Quotas

Los permisos de nivel de recursos hacen referencia a la capacidad de especificar en qué recursos los usuarios tienen permitido realizar acciones. Para las acciones del API que admiten los permisos a nivel de recursos, puede controlar los recursos que los usuarios están autorizados a usar con la acción. Para especificar un recurso en la instrucción de una política, debe utilizar su nombre de recurso de Amazon (ARN).

El ARN de una cuota tiene el formato que se muestra en el ejemplo siguiente.

arn:aws:servicequotas:region-code:account-id:service-code/quota-code

En el caso de las acciones de la API que no admiten los permisos a nivel de recursos, debe especificar la instrucción de recursos que se muestra en el ejemplo siguiente.

"Resource": "*"

Permisos de nivel de recursos para Service Quotas

Las siguientes acciones de Service Quotas admiten permisos de nivel de recursos:

Para obtener más información, consulteAcciones definidas por Service Quotasen laReferencia de autorizaciones de servicio.

Claves de condición para Service Quotas

Al crear una política, se pueden especificar las condiciones que controlan cuándo entra en vigor. Cada condición contiene uno o varios pares clave-valor. Existen claves de condición globales y claves de condición específicas del servicio.

Laservicequotas:serviceclave es específica de Service Quotas. Las siguientes acciones de la API de Service Quotas admiten esta clave:

Para obtener más información acerca de las claves de condición, consulteAWSClaves de contexto de condición globales deen laIAM User Guide.

PredefinidaAWSpolíticas gestionadas para Service Quotas

Las políticas administradas creadas por AWS conceden los permisos necesarios para casos de uso comunes. Puede asociar estas políticas a sus usuarios de IAM, en función del nivel de acceso a las Service Quotas que necesiten para:

  • ServiceQuotasFullAccess- Concede acceso completo necesario para utilizar las funciones de Service Quotas.

  • ServiceQuotasReadOnlyAccess: concede acceso de solo lectura a las características de Service Quotas.