Crea un conjunto de permisos. - AWS IAM Identity Center
Creación de un conjunto de permisos que aplique los permisos de privilegio mínimo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crea un conjunto de permisos.

Los conjuntos de permisos se almacenan en IAM Identity Center y definen el nivel de acceso que tienen los usuarios y los grupos a una Cuenta de AWS. El primer conjunto de permisos que cree es el conjunto de permisos administrativos. Si completó uno de los Tutoriales de introducción, ya creó su conjunto de permisos administrativos. Utilice este procedimiento para crear conjuntos de permisos, tal y como se describe en el tema Políticas AWS gestionadas para funciones de trabajo de la Guía del IAM usuario.

  1. Realice una de estas 2 operaciones para iniciar sesión en la AWS Management Console.

    • Nuevo para AWS (usuario root): inicie sesión como propietario de la cuenta; para ello, seleccione Usuario root e introduzca su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

    • Ya lo AWS estás usando (IAMcredenciales): inicia sesión con tus IAM credenciales y permisos administrativos.

  2. Abra la consola IAM de Identity Center.

  3. En el panel de navegación de IAM Identity Center, en Permisos para varias cuentas, elija Conjuntos de permisos.

  4. Elija Crear conjunto de permisos.

    1. En la página Seleccione el tipo de conjunto de permisos, en la sección Tipo de conjunto de permisos, elija Conjunto de permisos predefinido.

    2. En la sección Política para el conjunto de permisos predefinido, seleccione una de las siguientes opciones:

      • AdministratorAccess

      • Facturación

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. En la página Especificar detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente. La configuración predeterminada limita la sesión a una hora.

  6. En la página Revisar y crear confirme lo siguiente:

    1. En el paso 1: seleccionar el tipo de conjunto de permisos, muestra el tipo de conjunto de permisos que ha elegido.

    2. En el paso 2: Definir los detalles del conjunto de permisos, muestra el nombre del conjunto de permisos que ha elegido.

    3. Seleccione Crear.

Creación de un conjunto de permisos que aplique los permisos de privilegio mínimo

Para seguir la práctica recomendada de aplicar permisos con privilegios mínimos, después de crear un conjunto de permisos administrativos, cree un conjunto de permisos más restrictivo y asígnelo a uno o más usuarios. Los conjuntos de permisos creados en el procedimiento anterior proporcionan un punto de partida para evaluar la cantidad de acceso a los recursos que necesitan los usuarios. Para cambiar a los permisos con privilegios mínimos, puede ejecutar IAM Access Analyzer para supervisar a los principales con políticas AWS administradas. Después de saber qué permisos utilizan, puede escribir una política personalizada o generar una política con solo los permisos necesarios para su equipo.

Con IAM Identity Center, puede asignar varios conjuntos de permisos al mismo usuario. A su usuario administrativo también se le deben asignar conjuntos de permisos adicionales y más restrictivos. De esta forma, pueden acceder a usted solo Cuenta de AWS con los permisos necesarios, en lugar de utilizar siempre sus permisos administrativos.

Por ejemplo, si es desarrollador, después de crear su usuario administrativo en IAM Identity Center, puede crear un nuevo conjunto de permisos que conceda PowerUserAccess permisos y, a continuación, asignarse ese conjunto de permisos a usted mismo. A diferencia del conjunto de permisos administrativos, que utiliza AdministratorAccess permisos, el conjunto de PowerUserAccess permisos no permite la administración de IAM usuarios y grupos. Al iniciar sesión en el AWS portal de acceso para acceder a su AWS cuenta, puede PowerUserAccess elegir no AdministratorAccess realizar las tareas de desarrollo en la cuenta.

Tenga en cuenta las siguientes consideraciones:

  • Para empezar rápidamente a crear un conjunto de permisos más restrictivo, utilice un conjunto de permisos predefinido en lugar de uno personalizado.

    Con un conjunto de permisos predefinido, que utiliza permisos predefinidos, puede elegir una única política AWS gestionada de una lista de políticas disponibles. Cada política otorga un nivel específico de acceso a AWS los servicios y recursos o permisos para una función laboral común. Para obtener información sobre cada una de estas políticas, consulte Políticas administradas de AWS para funciones de trabajo.

  • Puede configurar la duración de la sesión de un conjunto de permisos para controlar el tiempo que un usuario permanece registrado en una Cuenta de AWS.

    Cuando los usuarios se federan Cuenta de AWS y utilizan la consola de AWS administración o la interfaz de línea de AWS comandos (AWS CLI), IAM Identity Center utiliza la configuración de duración de la sesión del conjunto de permisos para controlar la duración de la sesión. De forma predeterminada, el valor de Duración de la sesión, que determina el tiempo que un usuario puede iniciar sesión Cuenta de AWS AWS antes de cerrar la sesión, se establece en una hora. Puede especificar un valor máximo de 12 horas. Para obtener más información, consulte Establezca la duración de la sesión para Cuentas de AWS.

  • También puede configurar la duración de la sesión del portal de AWS acceso para controlar el tiempo que un usuario de la fuerza laboral permanece conectado al portal.

    De forma predeterminada, el valor de Duración máxima de la sesión, que determina el tiempo que un usuario de Workforce puede iniciar sesión en el portal de AWS acceso antes de tener que volver a autenticarse, es de ocho horas. Puede especificar un valor máximo de 90 días. Para obtener más información, consulte Configure la duración de la sesión del portal de AWS acceso y de las aplicaciones integradas en IAM Identity Center.

  • Cuando inicie sesión en el portal de AWS acceso, elija el rol que proporciona los permisos con privilegios mínimos.

    Cada conjunto de permisos que cree y asigne a su usuario aparece como un rol disponible en el AWS portal de acceso. Cuando inicie sesión en el portal en calidad de ese usuario, elija el rol que corresponda al conjunto de permisos más restrictivo que pueda usar para realizar tareas en la cuenta, en lugar de AdministratorAccess.

  • Puede añadir otros usuarios a IAM Identity Center y asignar conjuntos de permisos nuevos o existentes a esos usuarios.

    Para obtener información, consulte Asigne el Cuenta de AWS acceso a los grupos.