Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación, administración y eliminación de conjuntos de permisos
Los conjuntos de permisos definen el nivel de acceso que tienen los usuarios y grupos en una Cuenta de AWS. Los conjuntos de permisos se almacenan en IAM Identity Center y se pueden aprovisionar a uno o varios Cuentas de AWS. Puedes asignar más de un conjunto de permisos a un usuario. Para obtener más información sobre los conjuntos de permisos y cómo se utilizan en IAM Identity Center, consulteAdministre Cuentas de AWS con conjuntos de permisos.
nota
Puede buscar y ordenar los conjuntos de permisos por nombre en la consola de IAM Identity Center.
Tenga en cuenta las siguientes consideraciones al crear conjuntos de permisos:
-
Comience con un conjunto de permisos predefinido
Con un conjunto de permisos predefinido, que utiliza permisos predefinidos, puede elegir una única política AWS gestionada de una lista de políticas disponibles. Cada política otorga un nivel específico de acceso a AWS los servicios y recursos o permisos para una función laboral común. Para obtener información sobre cada una de estas políticas, consulte Políticas administradas de AWS para funciones de trabajo. Una vez recopilados los datos de uso, puede refinar el conjunto de permisos para que sea más restrictivo.
-
Limite la duración de las sesiones de administración a periodos de trabajo razonables
Cuando los usuarios se federan Cuenta de AWS y utilizan la interfaz de línea de AWS comandos () AWS Management Console o la interfaz de línea de comandos (AWS CLI), IAM Identity Center utiliza la configuración de duración de la sesión del conjunto de permisos para controlar la duración de la sesión. Cuando la sesión del usuario alcance la duración de la sesión, se cerrará la sesión de la consola y se le pedirá que vuelva a iniciar sesión. Como práctica recomendada de seguridad, es aconsejable que no defina una duración de la sesión mayor de la que necesita para realizar el rol. De forma predeterminada, el valor de Duración de la sesión es de una hora. Puede especificar un valor máximo de 12 horas. Para obtener más información, consulte Establezca la duración de la sesión para Cuentas de AWS.
-
Limite la duración de las sesiones en el portal de usuarios de la plantilla
Los usuarios de la plantilla utilizan las sesiones del portal para elegir los roles y acceder a las aplicaciones. De forma predeterminada, el valor de Duración máxima de la sesión, que determina el tiempo que un usuario de la fuerza laboral puede iniciar sesión en el portal de AWS acceso antes de volver a autenticarse, es de ocho horas. Puede especificar un valor máximo de 90 días. Para obtener más información, consulte Configure la duración de la sesión del portal de acceso AWS y de las aplicaciones integradas del Centro de identidades de IAM.
-
Utilice el rol que proporcione permisos con privilegios mínimos
Cada conjunto de permisos que cree y asigne a su usuario aparece como un rol disponible en el portal de AWS acceso. Cuando inicie sesión en el portal en calidad de ese usuario, elija el rol que corresponda al conjunto de permisos más restrictivo que pueda usar para realizar tareas en la cuenta, en lugar de
AdministratorAccess. Pruebe sus conjuntos de permisos para comprobar que proporcionan el acceso necesario antes de enviar la invitación al usuario.
nota
También puede utilizar AWS CloudFormation para crear y asignar conjuntos de permisos y asignar usuarios a esos conjuntos de permisos.
Temas
