Administración de permisos

Administre permisos para controlar el acceso a identidades humanas y de máquinas que requieran acceso a AWS y sus cargas de trabajo. Los permisos le permiten controlar a qué puede acceder cada usuario y en qué condiciones. Al establecer permisos para identidades específicas humanas y de máquinas, concede acceso a acciones de servicio específicas en determinados recursos. Asimismo, puede especificar condiciones que deben cumplirse para que se conceda el acceso.

Existen diversas formas de conceder acceso a distintos tipos de recursos. Una forma es mediante el uso de distintos tipos de políticas.

Las políticas basadas en la identidad de IAM se administran o se insertan y se adjuntan a las identidades de IAM, incluidos los usuarios, los grupos o los roles. Estas políticas le permiten especificar lo que esa identidad puede hacer (sus permisos). Las políticas basadas en la identidad también pueden clasificarse de la siguiente manera.

Políticas administradas – Políticas independientes basadas en la identidad que puede adjuntar a varios usuarios, grupos y funciones en su cuenta de AWS. Existen dos tipos de políticas administradas:

Las políticas administradas son el método preferido para aplicar permisos. Sin embargo, también puede usar políticas insertadas que agrega directamente a un usuario único, grupo o rol. Las políticas insertadas mantienen una relación estricta de uno a uno entre una política y una identidad. Las políticas insertadas se eliminan cuando elimine la identidad.

En la mayoría de los casos, debe crear sus propias políticas administradas por el cliente según el principio de privilegio mínimo.

Las políticas basadas en recursos se asocian a un recurso. Por ejemplo, una política de bucket de S3 es una política basada en recursos. Estas políticas conceden permiso a una entidad principal que puede estar en la misma cuenta que el recurso o en otra cuenta. Para obtener una lista de los servicios compatibles con los permisos basados en recursos, consulte Servicios de AWS que funcionan con IAM.

Los límites de permisos son una política administrada para establecer los permisos máximos que un administrador puede establecer. Esto le permite delegar la capacidad de crear y administrar permisos a los desarrolladores, como, por ejemplo, la creación de un rol de IAM, pero también limitar los permisos que pueden conceder para que no puedan escalar su permiso con la opción que han creado.

El control de acceso basado en atributos (ABAC) en AWS le permite conceder permisos basados en atributos, denominados etiquetas. Estas etiquetas pueden asociarse a entidades principales de IAM (usuarios o roles) y a recursos de AWS. Los administradores pueden crear políticas de IAM reutilizables que aplican permisos en función de los atributos de la entidad principal de IAM. Por ejemplo, un administrador puede usar una única política de IAM que conceda a los desarrolladores de la organización acceso a los recursos de AWS que coincidan con las etiquetas de su proyecto. A medida que el equipo de desarrolladores vaya agregando recursos a los proyectos, los permisos se irán aplicando automáticamente en función de los atributos y ya no será necesario actualizar las políticas de cada recurso.

Las políticas de control de servicio (SCP) de Organizations definen los permisos máximos para los miembros de las cuentas de una organización o unidad organizativa (OU). Las SCP limitan los permisos que las políticas basadas en la identidad o en recursos conceden a las entidades (usuarios o roles) dentro de la cuenta, pero no conceden permisos.

Las políticas de sesión asumen un rol o un usuario federado. Apruebe políticas de sesión al utilizar las políticas de la AWS CLI o API de AWS para limitar los permisos que las políticas basadas en la identidad del rol o el usuario conceden a la sesión. Estas políticas limitan los permisos para una sesión creada, pero no conceden permisos. Para obtener más información, consulte Políticas de sesión.