Administración de permisos

Administre permisos para controlar el acceso a identidades humanas y de máquinas que requieran acceso a AWS y sus cargas de trabajo. Los permisos controlan a qué puede acceder cada usuario y en qué condiciones. Establezca permisos para identidades específicas humanas y de máquinas a fin de conceder acceso a acciones de servicio específicas en determinados recursos. Asimismo, especifique condiciones que deben cumplirse para que se conceda el acceso. Por ejemplo, puede permitir a los desarrolladores crear nuevas funciones de Lambda, pero solo en una determinada región. Al administrar los entornos de AWS a escala, debe cumplir las siguientes prácticas recomendadas para garantizar que las identidades solo tengan acceso a lo que necesiten y a nada más.

Existen diversas formas de conceder acceso a distintos tipos de recursos. Una forma es mediante el uso de distintos tipos de políticas.

Las políticas basadas en la identidad en IAM están administradas o insertadas y están asociadas a identidades de IAM, como usuarios, grupos o roles. Estas políticas le permiten especificar lo que dicha identidad puede hacer (sus permisos). Las políticas basadas en la identidad también pueden clasificarse de la siguiente manera.

Políticas administradas: políticas basadas en la identidad independientes que puede asociar a varios usuarios, grupos y roles de la cuenta de AWS. Hay dos tipos de políticas administradas:

Las políticas administradas son el método preferido para aplicar permisos. Sin embargo, también puede usar políticas insertadas que añade directamente a un usuario único, grupo o rol. Las políticas insertadas mantienen una relación estricta de uno a uno entre una política y una identidad. Las políticas insertadas se eliminan cuando elimine la identidad.

En la mayoría de los casos, debe crear sus propias políticas administradas por clientes siguiendo el principio de privilegio mínimo.

Las políticas basadas en recursos están asociadas a un recurso. Por ejemplo, una política de bucket de S3 es una política basada en recursos. Estas políticas conceden permiso a una entidad principal que puede estar en la misma cuenta que el recurso o en otra cuenta. Para obtener una lista de los servicios que admiten las políticas basadas en recursos, consulte Servicios de AWS que funcionan con IAM.

Los límites de permisos utilizan una política administrada para establecer los permisos máximos que un administrador puede configurar. Esto le permite delegar la capacidad de crear y administrar permisos a los desarrolladores, como, por ejemplo, la creación de un rol de IAM, pero también limitar los permisos que pueden conceder para que no puedan escalar su permiso con la opción que han creado.

El control de acceso basado en atributos (ABAC) le permite conceder permisos basados en atributos. En AWS, estos se denominan etiquetas. Las etiquetas pueden asociarse a entidades principales de IAM (usuarios o roles) y a recursos de AWS. Al utilizar las políticas de IAM, los administradores pueden crear una política reutilizable que aplica permisos en función de los atributos de la entidad principal de IAM. Por ejemplo, un administrador puede usar una única política de IAM que concede a los desarrolladores de la organización acceso a los recursos de AWS que coincidan con las etiquetas de proyecto de los desarrolladores. A medida que el equipo de desarrolladores va añadiendo recursos a los proyectos, los permisos se irán aplicando automáticamente en función de los atributos. El resultado es que no es necesario actualizar ninguna política para cada nuevo recurso.

Las políticas de control de servicios de organizaciones (SCP) definen los permisos máximos para los miembros de las cuentas de una organización o unidad organizativa (OU). Las SCP limitan los permisos que las políticas basadas en la identidad o en los recursos conceden a las entidades (usuarios o roles) de la cuenta, pero no conceden permisos.

Las políticas de sesión asumen un rol o un usuario federado. Apruebe políticas de sesión al utilizar las políticas de AWS CLI o AWS API Session para limitar los permisos que las políticas basadas en la identidad del rol o el usuario conceden a la sesión. Estas políticas limitan los permisos para una sesión creada, pero no conceden permisos. Para obtener más información, consulte Políticas de sesión.