Creación, administración y eliminación de conjuntos de permisos

Los conjuntos de permisos definen el nivel de acceso que tienen los usuarios y grupos en una Cuenta de AWS. Los conjuntos de permisos se almacenan en IAM Identity Center y se pueden aprovisionar a uno o varios Cuentas de AWS. Puedes asignar más de un conjunto de permisos a un usuario. Para obtener más información sobre los conjuntos de permisos y cómo se utilizan en IAM Identity Center, consulteAdministre Cuentas de AWS con conjuntos de permisos.

Tenga en cuenta las siguientes consideraciones al crear conjuntos de permisos:

Comience con un conjunto de permisos predefinido

Con un conjunto de permisos predefinido, que utiliza permisos predefinidos, puede elegir una única política AWS gestionada de una lista de políticas disponibles. Cada política otorga un nivel específico de acceso a AWS los servicios y recursos o permisos para una función laboral común. Para obtener información sobre cada una de estas políticas, consulte Políticas administradas de AWS para funciones de trabajo. Una vez recopilados los datos de uso, puede refinar el conjunto de permisos para que sea más restrictivo.
Limite la duración de las sesiones de administración a periodos de trabajo razonables

Cuando los usuarios se federan Cuenta de AWS y utilizan la consola de AWS administración o la interfaz de línea de AWS comandos (AWS CLI), IAM Identity Center utiliza la configuración de duración de la sesión del conjunto de permisos para controlar la duración de la sesión. Cuando la sesión del usuario alcance la duración de la sesión, se cerrará la sesión de la consola y se le pedirá que vuelva a iniciar sesión. Como práctica recomendada de seguridad, es aconsejable que no defina una duración de la sesión mayor de la que necesita para realizar el rol. De forma predeterminada, el valor de Duración de la sesión es de una hora. Puede especificar un valor máximo de 12 horas. Para obtener más información, consulte Establezca la duración de la sesión para Cuentas de AWS.
Limite la duración de las sesiones en el portal de usuarios de la plantilla

Los usuarios de la plantilla utilizan las sesiones del portal para elegir los roles y acceder a las aplicaciones. De forma predeterminada, el valor de Duración máxima de la sesión, que determina el tiempo que un usuario de la fuerza laboral puede iniciar sesión en el portal de AWS acceso antes de volver a autenticarse, es de ocho horas. Puede especificar un valor máximo de 90 días. Para obtener más información, consulte Configure la duración de la sesión del portal de AWS acceso y de las aplicaciones integradas en IAM Identity Center.
Utilice el rol que proporcione permisos con privilegios mínimos

Cada conjunto de permisos que cree y asigne a su usuario aparece como un rol disponible en el portal de AWS acceso. Cuando inicie sesión en el portal en calidad de ese usuario, elija el rol que corresponda al conjunto de permisos más restrictivo que pueda usar para realizar tareas en la cuenta, en lugar de AdministratorAccess. Pruebe sus conjuntos de permisos para comprobar que proporcionan el acceso necesario antes de enviar la invitación al usuario.

nota

También puede utilizar AWS CloudFormation para crear y asignar conjuntos de permisos y asignar usuarios a esos conjuntos de permisos.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Permisos personalizados

Crea un conjunto de permisos.