Creación, administración y eliminación de conjuntos de permisos - AWS IAM Identity Center

Creación, administración y eliminación de conjuntos de permisos

Los conjuntos de permisos definen el nivel de acceso que tienen los usuarios y grupos en una Cuenta de AWS. Los conjuntos de permisos se almacenan en Centro de identidades de IAM y se pueden aprovisionar a una o varias Cuentas de AWS. Puedes asignar más de un conjunto de permisos a un usuario. Para obtener más información acerca de los conjuntos de permisos y cómo se usan en Centro de identidades de IAM, consulte Administre Cuentas de AWS con conjuntos de permisos.

Tenga en cuenta las siguientes consideraciones al crear conjuntos de permisos:

  • Comience con un conjunto de permisos predefinido

    Con un conjunto de permisos predefinido, que utiliza permisos predefinidos, puede elegir una única política administrada de AWS de una lista de políticas disponibles. Cada política concede un nivel específico de acceso a los servicios y recursos de AWS, o permisos para una función de trabajo común. Para obtener información sobre cada una de estas políticas, consulte Políticas administradas de AWS para funciones de trabajo. Una vez recopilados los datos de uso, puede refinar el conjunto de permisos para que sea más restrictivo.

  • Limite la duración de las sesiones de administración a periodos de trabajo razonables

    Cuando los usuarios se federan en su Cuenta de AWS y utilizan la consola de administración de AWS o la interfaz de la línea de comandos de AWS (AWS CLI), Centro de identidades de IAM utiliza la configuración de duración de la sesión del conjunto de permisos para controlar la duración de la sesión. Cuando la sesión del usuario alcance la duración de la sesión, se cerrará la sesión de la consola y se le pedirá que vuelva a iniciar sesión. Como práctica recomendada de seguridad, es aconsejable que no defina una duración de la sesión mayor de la que necesita para realizar el rol. De forma predeterminada, el valor de Duración de la sesión es de una hora. Puede especificar un valor máximo de 12 horas. Para obtener más información, consulte Definir la duración de la sesión para Cuentas de AWS.

  • Limite la duración de las sesiones en el portal de usuarios de la plantilla

    Los usuarios de la plantilla utilizan las sesiones del portal para elegir los roles y acceder a las aplicaciones. De forma predeterminada, el valor de la duración máxima de la sesión, que determina el tiempo que un usuario de personal puede iniciar sesión en el portal de acceso de AWS antes de tener que volver a autenticarse es de 8 horas. Puede especificar un valor máximo de 90 días. Para obtener más información, consulte Configure la duración de la sesión del portal de acceso AWS y de las aplicaciones integradas del Centro de identidades de IAM.

  • Utilice el rol que proporcione permisos con privilegios mínimos

    Cada conjunto de permisos que cree y asigne a su usuario se muestra como un rol disponible en el portal de acceso de AWS. Cuando inicie sesión en el portal en calidad de ese usuario, elija el rol que corresponda al conjunto de permisos más restrictivo que pueda usar para realizar tareas en la cuenta, en lugar de AdministratorAccess. Pruebe sus conjuntos de permisos para comprobar que proporcionan el acceso necesario antes de enviar la invitación al usuario.

nota

También puede utilizar AWS CloudFormation para crear y asignar conjuntos de permisos y asignar usuarios a esos conjuntos de permisos.

Temas