Cree un conjunto de permisos para funciones de trabajo - AWS IAM Identity Center
Creación de un conjunto de permisos que aplique los permisos de privilegio mínimo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un conjunto de permisos para funciones de trabajo

Los conjuntos de permisos se guardan en Centro de identidades de IAM y definen el nivel de acceso que tienen los usuarios y grupos en una cuenta Cuenta de AWS. El primer conjunto de permisos que cree es el conjunto de permisos administrativos. Si completó uno de los Tutoriales de orígenes de identidad del Centro de identidades de IAM, ya creó su conjunto de permisos administrativos. Utilice este procedimiento para crear conjuntos de permisos, tal y como se describe en el tema Managed Policies de AWS para funciones de trabajo de la Guía del usuario de IAM.

  1. Realice una de estas 2 operaciones para iniciar sesión en la AWS Management Console.

    • Primera vez que utiliza AWS (usuario raíz): inicie sesión como propietario de cuenta, elija Usuario raíz e ingrese la dirección de correo electrónico de la Cuenta de AWS. En la siguiente página, escriba su contraseña.

    • Ya utiliza AWS (credenciales de IAM): inicie sesión con sus credenciales de IAM con permisos administrativos.

  2. Abra la consola de Centro de identidades de IAM.

  3. En el panel de navegación del Centro de identidades de IAM, en Permisos multicuenta, seleccione Conjuntos de permisos.

  4. Elija Crear conjunto de permisos.

    1. En la página Seleccione el tipo de conjunto de permisos, en la sección Tipo de conjunto de permisos, elija Conjunto de permisos predefinido.

    2. En la sección Política para el conjunto de permisos predefinido, seleccione una de las siguientes opciones:

      • AdministratorAccess

      • Facturación

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. En la página Especificar detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente. La configuración predeterminada limita la sesión a una hora.

  6. En la página Revisar y crear confirme lo siguiente:

    1. En paso 1: seleccione del tipo de conjunto de permisos, se muestra el tipo de conjunto de permisos que ha elegido.

    2. En el paso 2: defina los detalles del conjunto de permisos, se muestra el nombre del conjunto de permisos que ha elegido.

    3. Seleccione Crear.

Creación de un conjunto de permisos que aplique los permisos de privilegio mínimo

Para seguir la práctica recomendada de aplicar permisos con privilegios mínimos, después de crear un conjunto de permisos administrativos, cree un conjunto de permisos más restrictivo y asígnelo a uno o más usuarios. Los conjuntos de permisos creados en el procedimiento anterior proporcionan un punto de partida para evaluar la cantidad de acceso a los recursos que necesitan los usuarios. Para cambiar a permisos de privilegios mínimos, puede ejecutar el Analizador de acceso de IAM para supervisar las entidades principales con las políticas administradas por AWS. Después de saber qué permisos utilizan, puede escribir una política personalizada o generar una política con solo los permisos necesarios para su equipo.

Con Centro de identidades de IAM, puede asignar varios conjuntos de permisos al mismo usuario. A su usuario administrativo también se le deben asignar conjuntos de permisos adicionales y más restrictivos. De esta forma, podrá acceder a su Cuenta de AWS únicamente con los permisos necesarios, en lugar de tener que usar sus permisos administrativos.

Por ejemplo, si es desarrollador, después de crear su usuario administrativo en Centro de identidades de IAM, puede crear un nuevo conjunto de permisos que conceda permisos de PowerUserAccess y, a continuación, asignarse ese conjunto de permisos a usted. A diferencia del conjunto de permisos administrativos, que utiliza permisos de AdministratorAccess, el conjunto de permisos de PowerUserAccess no permite la administración de usuarios de IAM y grupos. Al iniciar sesión en el portal de acceso de AWS para acceder a su cuenta de AWS, puede elegir PowerUserAccess en lugar de que AdministratorAccess realice tareas de desarrollo en la cuenta.

Tenga en cuenta las siguientes consideraciones:

  • Para empezar rápidamente a crear un conjunto de permisos más restrictivo, utilice un conjunto de permisos predefinido en lugar de uno personalizado.

    Con un conjunto de permisos predefinido, que utiliza permisos predefinidos, puede elegir una única política administrada de AWS de una lista de políticas disponibles. Cada política concede un nivel específico de acceso a los servicios y recursos de AWS, o permisos para una función de trabajo común. Para obtener información sobre cada una de estas políticas, consulte Políticas administradas de AWS para funciones de trabajo.

  • Puede configurar la duración de la sesión de un conjunto de permisos para controlar el tiempo que un usuario permanece registrado en una Cuenta de AWS.

    Cuando los usuarios se federan en su Cuenta de AWS y utilizan la consola de administración de AWS o la interfaz de la línea de comandos de AWS (AWS CLI), Centro de identidades de IAM utiliza la configuración de duración de la sesión del conjunto de permisos para controlar la duración de la sesión. De forma predeterminada, el valor de duración de la sesión, que determina el tiempo que un usuario puede iniciar sesión en Cuenta de AWS antes de que AWS cierre la sesión del usuario, se establece en una hora. Puede especificar un valor máximo de 12 horas. Para obtener más información, consulte Establezca la duración de la sesión para Cuentas de AWS.

  • También puede configurar la duración de la sesión del portal de acceso de AWS para controlar el tiempo que un usuario de la fuerza laboral permanece conectado al portal.

    De forma predeterminada, el valor de la duración máxima de la sesión, que determina el tiempo que un usuario de personal puede iniciar sesión en el portal de acceso de AWS antes de tener que volver a autenticarse es de 8 horas. Puede especificar un valor máximo de 90 días. Para obtener más información, consulte Configure la duración de la sesión del portal de acceso AWS y de las aplicaciones integradas del Centro de identidades de IAM.

  • Cuando inicie sesión en el portal de acceso de AWS, elija el rol que proporciona los permisos con privilegios mínimos.

    Cada conjunto de permisos que cree y asigne a su usuario se muestra como un rol disponible en el portal de acceso de AWS. Cuando inicie sesión en el portal en calidad de ese usuario, elija el rol que corresponda al conjunto de permisos más restrictivo que pueda usar para realizar tareas en la cuenta, en lugar de AdministratorAccess.

  • Puede agregar otros usuarios a Centro de identidades de IAM y asignar conjuntos de permisos nuevos o existentes a esos usuarios.

    Para obtener información, consulte Asignación de acceso a la Cuenta de AWS a grupos.