Control del acceso con AWS Identity and Access Management
Con AWS Identity and Access Management (IAM), puede crear usuarios de IAM para controlar quién tiene acceso a qué recursos en su Cuenta de AWS. Puede utilizar AWS CloudFormation con IAM para controlar lo que los usuarios pueden hacer con AWS CloudFormation; por ejemplo, si pueden ver las plantillas de pila, crear pilas o eliminar pilas.
Además de acciones de AWS CloudFormation, puede administrar qué servicios y recursos de AWS están disponibles para cada usuario. De esa manera, puede controlar a qué recursos pueden obtener acceso los usuarios cuando utilizan AWS CloudFormation. Por ejemplo, puede especificar qué usuarios pueden crear instancias Amazon EC2, terminar instancias de base de datos o actualizar VPC. Estos mismos permisos se aplican siempre que utilizan AWS CloudFormation para realizar esas acciones.
Para obtener más información acerca de todos los servicios cuyo acceso puede controlar, consulte Servicios de AWS compatibles con IAM en la Guía del usuario de IAM.
Temas
- Acciones de AWS CloudFormation
- Recursos de AWS CloudFormation
- Condiciones de AWS CloudFormation
- Reconocimiento de recursos de IAM en plantillas de AWS CloudFormation
- Administración de credenciales para aplicaciones que se ejecutan en instancias Amazon EC2
- Concesión de acceso temporal (acceso federado)
- Rol de servicio AWS CloudFormation
Acciones de AWS CloudFormation
Al crear un grupo o un usuario en su cuenta de Cuenta de AWS, puede asociar una política de IAM con dicho grupo o usuario, que especifica los permisos que desea conceder. Por ejemplo, imagine que tiene un grupo de desarrolladores de nivel inicial. Puede crear un grupo Junior
application developers que incluya a todos los desarrolladores de nivel inicial. A continuación, puede asociar una política a ese grupo que permite a los usuarios ver solamente pilas de AWS CloudFormation. En esta situación, es posible que tenga una política como la que se muestra en el siguiente ejemplo:
ejemplo Una política de ejemplo que concede permisos para ver la pila
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources" ], "Resource":"*" }] }
La política otorga permisos a todas las acciones de la API DescribeStack que aparecen en el elemento Action.
importante
Si no especifica un nombre de pila o ID en su declaración, también debe conceder permiso para utilizar todos los recursos para la acción utilizando el comodín * para el elemento Resource.
Además de las acciones de AWS CloudFormation, los usuarios que crean o eliminan pilas requieren permisos adicionales que dependen de las plantillas de pilas. Por ejemplo, si tiene una plantilla que describe una cola Amazon SQS, el usuario debe tener los permisos correspondientes para que las acciones de Amazon SQS creen correctamente la pila, tal y como se muestra en la siguiente política de ejemplo:
ejemplo Una política de ejemplo que concede acciones de creación y visualización de pila y todas las acciones Amazon SQS
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate" ], "Resource":"*" }] }
Para obtener una lista de todas las acciones de AWS CloudFormation que puede permitir o denegar, consulte la referencia de la API de AWS CloudFormation.
Acciones específicas de la consola de AWS CloudFormation
Los usuarios que utilizan la consola de AWS CloudFormation requieren permisos adicionales que no son necesarios para utilizar las API de AWS Command Line Interface o de AWS CloudFormation. En comparación con la AWS CLI y la API, la consola ofrece características adicionales que requieren permisos adicionales, como, por ejemplo, las cargas de plantilla para buckets de Amazon S3 y listas desplegables para tipos de parámetros específicos de AWS.
Para todas las acciones siguientes, conceda permisos a todos los recursos; no limite las acciones a pilas o buckets específicos.
La siguiente acción necesaria es utilizada únicamente por la consola de AWS CloudFormation y no se documenta en la referencia de la API. La acción permite a los usuarios cargar plantillas para buckets de Amazon S3.
cloudformation:CreateUploadBucket
Cuando los usuarios cargan plantillas, necesitan los siguientes permisos de Amazon S3:
s3:PutObject s3:ListBucket s3:GetObject s3:CreateBucket
Para las plantillas con tipos de parámetros específicos de AWS, los usuarios necesitan permisos para realizar las llamadas a la API. Por ejemplo, si una plantilla incluye el tipo de parámetro AWS::EC2::KeyPair::KeyName, los usuarios necesitan permiso para llamar a la acción DescribeKeyPairs de EC2 (así es como la consola obtiene valores para la lista desplegable de parámetros). Los siguientes ejemplos son acciones que los usuarios necesitan para otros tipos de parámetros:
ec2:DescribeSecurityGroups (for the AWS::EC2::SecurityGroup::Id parameter type) ec2:DescribeSubnets (for the Subnet::Id parameter type) ec2:DescribeVpcs (for the AWS::EC2::VPC::Id parameter type)
Recursos de AWS CloudFormation
AWS CloudFormation admite permisos de nivel de recursos, para que pueda especificar acciones para una pila específica, tal y como se muestra en la siguiente política:
ejemplo Una política de ejemplo que deniegue las acciones de eliminación y actualización de pila para MyProductionStack
{ "Version":"2012-10-17", "Statement":[{ "Effect":"Deny", "Action":[ "cloudformation:DeleteStack", "cloudformation:UpdateStack" ], "Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*" }] }
La política anterior utiliza un comodín al final del nombre de la pila a fin de denegar la pila de eliminación y la pila de actualización en el ID de pila completo (como, por ejemplo, arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49c) y en el nombre de la pila (como, por ejemplo, MyProductionStack).
Para permitir que las transformaciones AWS::Serverless creen un cambio, la política debe incluir el permiso en el nivel de recursos arn:aws:cloudformation:<region>:aws:transform/Serverless-2016-10-31, tal y como se muestra en la política siguiente:
ejemplo Una política de ejemplo que permite la acción de creación de conjunto de cambios para la transformación
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": "arn:aws:cloudformation:us-west-2:aws:transform/Serverless-2016-10-31" }] }
Política de ejemplo que concede permisos de conjuntos de pilas administrados por servicio
A continuación se muestra una política de IAM de ejemplo que concede permisos de conjunto de pilas administrados por servicio a una entidad principal (usuario, rol o grupo). Un usuario con esta política solo puede llevar a cabo operaciones en conjuntos de pilas con plantillas que contengan tipos de recursos de Amazon S3 (AWS::S3::*) o el tipo de recurso AWS::SES::ConfigurationSet. Si ha iniciado sesión en la cuenta de administración de la organización con ID 123456789012, el usuario solo puede llevar a cabo operaciones en conjuntos de pila que tengan como destino la unidad organizativa con ID ou-1fsfsrsdsfrewr, y solo puede llevar a cabo operaciones en el conjunto de pilas con ID stack-set-id que se dirija a la Cuenta de AWS con ID 987654321012.
Las operaciones de conjunto de pila fallan si la plantilla de conjunto de pilas contiene tipos de recursos distintos de los especificados en la política, o si los destinos de implementación son unidades organizativas o ID de cuenta distintos de los especificados en la política para las cuentas de administración y los conjuntos de pilas correspondientes.
Estas restricciones de políticas solo se aplican cuando las operaciones de conjunto de pilas se dirigen a las Regiones de AWS us-east-1, us-west-2 o eu-west-2.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/*", "arn:aws:cloudformation:*:*:type/resource/AWS-S3-*", "arn:aws:cloudformation:us-west-2::type/resource/AWS-SES-ConfigurationSet", "arn:aws:cloudformation:*:123456789012:stackset-target/*/ou-1fsfsrsdsfrewr", "arn:aws:cloudformation:*:123456789012:stackset-target/stack-set-id/987654321012" ], "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:TargetRegion": [ "us-east-1", "us-west-2", "eu-west-1" ] } } } ] }
Condiciones de AWS CloudFormation
En una política de IAM, tiene la opción de especificar las condiciones que controlan cuándo está en vigor una política. Por ejemplo, puede definir una política que permite a los usuarios de crear una pila solo cuando se especifica una URL de plantilla determinada. Puede definir las condiciones específicas de AWS CloudFormation y las condiciones generales de AWS como, por ejemplo, DateLessThan, que especifica en qué momento una política deja de estar en vigor. Para obtener más información y una lista de las condiciones generales de AWS, consulte Condition (Condición) en la referencia de los elementos de las políticas de IAM en la Guía del usuario de IAM.
nota
No use la condición aws:SourceIp que se aplica a todo AWS. AWS CloudFormation aprovisiona recursos con su propia dirección IP, no la dirección IP de la solicitud de origen. Por ejemplo, al crear una pila, AWS CloudFormation lleva a cabo solicitudes desde su dirección IP para lanzar una instancia de Amazon EC2 o para crear un bucket de Amazon S3, en lugar de hacerlo desde la dirección IP de la llamada CreateStack o el comando aws cloudformation create-stack.
En la siguiente lista se describen las condiciones específicas de AWS CloudFormation. Las condiciones se aplican únicamente cuando los usuarios crean o actualizan pilas:
cloudformation:ChangeSetName-
Nombre de conjunto de cambios de AWS CloudFormation que desea asociar con una política. Utilice esta condición para controlar qué conjuntos de cambios pueden ejecutar o eliminar los usuarios de .
cloudformation:ImportResourceTypes-
Los tipos de recursos de plantilla que quiere asociar a una política como, por ejemplo,
AWS::EC2::Instance. Utilice esta condición para controlar con qué tipos de recursos pueden trabajar los usuarios de al importar recursos a una pila. Esta condición se compara con los tipos de recursos que los usuarios declaran en el parámetroResourcesToImport, que es compatible actualmente solo para solicitudes de la AWS CLI y la API. Al utilizar este parámetro, debe especificar todos los tipos de recursos que desea que los usuarios controlen durante las operaciones de importación. Para obtener más información sobre el parámetroResourcesToImport, consulte la acciónCreateChangeSeten la Referencia de la API de AWS CloudFormation.Para obtener una lista de posibles
ResourcesToImport, consulte Recursos que admiten operaciones de importación.Utilice la convención de nomenclatura de recursos de tres partes para especificar con qué tipos de recursos pueden trabajar los usuarios, desde todos los recursos de una organización hasta un tipo de recurso individual.
organization::*-
Especifique todos los tipos de recursos para una organización determinada.
organization::service_name-
Especifique todos los tipos de recursos para el servicio especificado dentro de una organización determinada.
organization::service_nameresource_type-
Especifique un tipo de recurso específico.
Por ejemplo:
AWS::*-
Especifique todos los tipos de recursos de AWS admitidos.
AWS::service_name::*-
Especifique todos los recursos admitidos de un servicio de AWS específico.
AWS::service_name::resource_type-
Especifique un tipo de recurso de AWS específico, como, por ejemplo,
AWS::EC2::Instance(todas las instancias de EC2).
cloudformation:ResourceTypes-
Los tipos de recursos de plantilla como, por ejemplo
AWS::EC2::Instance, que desea asociar con una política. Utilice esta condición para controlar con qué tipo de recursos pueden trabajar los usuarios de al crear o actualizar una pila. Esta condición se compara con los tipos de recursos que los usuarios declaran en el parámetroResourceTypes, que es compatible actualmente solo para solicitudes de la AWS CLI y la API. Cuando se utiliza este parámetro, los usuarios deben especificar todos los tipos de recursos presentes en su plantilla. Para obtener más información sobre el parámetroResourceTypes, consulte la acciónCreateStacken la Referencia de la API de AWS CloudFormation.Para obtener una lista de los tipos de recursos, consulte Referencia de tipos de recursos y propiedades de AWS.
Utilice la convención de nomenclatura de recursos de tres partes para especificar con qué tipos de recursos pueden trabajar los usuarios, desde todos los recursos de una organización hasta un tipo de recurso individual.
organization::*-
Especifique todos los tipos de recursos para una organización determinada.
organization::service_name-
Especifique todos los tipos de recursos para el servicio especificado dentro de una organización determinada.
organization::service_nameresource_type-
Especifique un tipo de recurso específico.
Por ejemplo:
AWS::*-
Especifique todos los tipos de recursos de AWS admitidos.
AWS::service_name::*-
Especifique todos los recursos admitidos de un servicio de AWS específico.
AWS::service_name::resource_type-
Especifique un tipo de recurso de AWS específico, como, por ejemplo,
AWS::EC2::Instance(todas las instancias de EC2). Alexa::ASK::*-
Especifique todos los tipos de recursos en Alexa Skill Kit.
Alexa::ASK::Skill-
Especifique el tipo de recursos de Skill individual.
Custom::*-
Especifique todos los recursos personalizados.
Para obtener más información sobre los recursos personalizados, consulte Recursos personalizados.
Custom::resource_type-
Especifique un tipo de recurso personalizado específico.
Para obtener más información sobre los recursos personalizados, consulte Recursos personalizados.
cloudformation:RoleARN-
El Nombre de recurso de Amazon (ARN) de un rol de servicio de IAM que desea asociar con una política. Utilice esta condición para controlar qué rol de servicio pueden utilizar los usuarios de al trabajar con pilas o conjuntos de cambios.
cloudformation:StackPolicyUrl-
Una URL de política de pila de Amazon S3 que desea asociar con una política. Utilice esta condición para controlar qué políticas de pila pueden asociar los usuarios de con una pila durante una acción de creación o actualización de la pila. Para obtener más información sobre las políticas de pila, consulte Impida actualizaciones en los recursos de la pila.
nota
Para garantizar que los usuarios solo pueden crear o actualizar pilas con las políticas de pila que ha subido, establezca el bucket de S3 en
read onlypara dichos usuarios. cloudformation:TemplateUrl-
Una URL de plantilla de Amazon S3 que desea asociar con una política. Utilice esta condición para controlar qué plantillas pueden usar los usuarios de al crear o actualizar pilas.
nota
Para garantizar que los usuarios de solo pueden crear o actualizar pilas con las plantillas que ha subido, establezca el bucket de S3 en
read onlypara dichos usuarios.nota
Las siguientes condiciones AWS CloudFormation-específicas se aplican a los parámetros API del mismo nombre:
-
cloudformation:ChangeSetName -
cloudformation:RoleARN -
cloudformation:StackPolicyUrl -
cloudformation:TemplateUrl
Por ejemplo,
cloudformation:TemplateUrlsólo se aplica alTemplateUrlparámetro paraCreateStackUpdateStack, yCreateChangeSetlas API. -
Ejemplos
La siguiente política de ejemplo permite a los usuarios utilizar únicamente la URL de plantilla https://s3.amazonaws.com/testbucket/test.template para crear o actualizar una pila.
ejemplo Condición de URL de plantilla
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack", "cloudformation:UpdateStack" ], "Resource" : "*", "Condition" : { "StringEquals" : { "cloudformation:TemplateUrl" : [ "https://s3.amazonaws.com/testbucket/test.template" ] } } } ] }
La política de ejemplo siguiente permite a los usuarios completar todas las operaciones de AWS CloudFormation excepto las operaciones de importación.
ejemplo Condición de importación de tipos de recurso
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllStackOperations", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" }, { "Sid": "DenyImport", "Effect": "Deny", "Action": "cloudformation:*", "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "cloudformation:ImportResourceTypes": [ "*" ] } } } ] }
La siguiente política de ejemplo permite todas las operaciones de pila, así como las operaciones de importación solo en recursos especificados (en este ejemplo, AWS::S3::Bucket).
ejemplo Condición de importación de tipos de recurso
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImport", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:ImportResourceTypes": [ "AWS::S3::Bucket" ] } } } ] }
La siguiente política de ejemplo permite a los usuarios crear pilas pero deniega las solicitudes si la plantilla de la pila incluye cualquier recurso del servicio de IAM. La política también requiere que los usuarios especifiquen el parámetro ResourceTypes, que solo está disponible para las solicitudes de la API y la AWS CLI. Esta política utiliza declaraciones de denegación explícita de modo que si cualquier otra política otorga permisos adicionales, esta política siempre permanecerá en vigor (una declaración de denegación explícita siempre anula una declaración de permiso explícita).
ejemplo Condición de tipo de recurso
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*" }, { "Effect" : "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAnyValue:StringLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] } } }, { "Effect": "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource": "*", "Condition": { "Null": { "cloudformation:ResourceTypes": "true" } } } ] }
La siguiente política de ejemplo es parecida al ejemplo anterior. La política permite a los usuarios crear una pila salvo si la plantilla de la pila incluye cualquier recurso del servicio de IAM. También requiere que los usuarios especifiquen el parámetro ResourceTypes, que solo está disponible para las solicitudes de la API y la AWS CLI. Esta política es más sencilla, pero no utiliza declaraciones de denegación explícita. Otras políticas, que conceden permisos adicionales, podrían anular esta política.
ejemplo Condición de tipo de recurso
{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAllValues:StringNotLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] }, "Null":{ "cloudformation:ResourceTypes": "false" } } } ] }
Reconocimiento de recursos de IAM en plantillas de AWS CloudFormation
Antes de crear una pila, AWS CloudFormation valida la plantilla. Durante la validación, AWS CloudFormation comprueba la plantilla en busca de recursos de IAM que podría crear. Los recursos de IAM, como un usuario con acceso completo, pueden obtener acceso y modificar cualquier recurso en su cuenta de Cuenta de AWS. Por lo tanto, le sugerimos que revise los permisos asociados a cada recurso de IAM antes de continuar para no crear involuntariamente recursos con permisos escalados. Para garantizar que lo ha hecho, debe confirmar que la plantilla contiene dichos recursos, lo que concede a AWS CloudFormation las capacidades especificadas antes de crear la pila.
Puede confirmar las capacidades de plantillas de AWS CloudFormation a través de la consola de AWS CloudFormation, la AWS Command Line Interface (AWS CLI) o la API:
-
En la consola de AWS CloudFormation, en la página Review (Revisar) de los asistentes para crear o actualizar una pila, elija I acknowledge that this template may create IAM resources (Confirmo que esta plantilla pueda crear recursos de IAM).
-
En la AWS CLI, cuando utilice los comandos
aws cloudformation create-stackyaws cloudformation update-stack, especifique el valorCAPABILITY_IAMoCAPABILITY_NAMED_IAMpara el parámetro--capabilities. Si la plantilla incluye recursos de IAM, puede especificar cualquiera de las dos capacidades. Si la plantilla incluye nombres personalizados para recursos de IAM, debe especificarCAPABILITY_NAMED_IAM. -
En la API, cuando utiliza las acciones
CreateStackyUpdateStackespecifiqueCapabilities.member.1=CAPABILITY_IAMoCapabilities.member.1=CAPABILITY_NAMED_IAM. Si la plantilla incluye recursos de IAM, puede especificar cualquiera de las dos capacidades. Si la plantilla incluye nombres personalizados para recursos de IAM, debe especificarCAPABILITY_NAMED_IAM.
importante
Si la plantilla contiene recursos de IAM con nombre personalizado, no cree varias pilas reutilizando la misma plantilla. Los recursos de IAM deben ser únicos globalmente en su cuenta. Si utiliza la misma plantilla para crear varias pilas en diferentes regiones, las pilas podrían compartir los mismos recursos de IAM, en lugar de que cada una tenga uno único. Los recursos compartidos entre pilas pueden tener consecuencias imprevistas de las que podría no recuperarse. Por ejemplo, si elimina o actualiza recursos de IAM compartidos en una pila, modificará involuntariamente los recursos de otras pilas.
Administración de credenciales para aplicaciones que se ejecutan en instancias Amazon EC2
Si tiene una aplicación que se ejecuta en una instancia de Amazon EC2 y necesita llevar a cabo solicitudes a recursos de AWS, como buckets de Amazon S3 o una tabla de DynamoDB, la aplicación necesita credenciales de seguridad de AWS. Sin embargo, distribuir e incrustar credenciales de seguridad a largo plazo en cada instancia lanzada es un reto y un posible riesgo para la seguridad. En lugar de utilizar credenciales a largo plazo, como credenciales de usuario de IAM, le recomendamos que cree un rol de IAM que esté asociado a una instancia Amazon EC2 cuando se lance la instancia. Una aplicación puede obtener credenciales de seguridad temporales para la instancia Amazon EC2. No tiene que incrustar credenciales a largo plazo en la instancia. Además, para facilitar la administración de credenciales, puede especificar tan solo un rol individual para múltiples instancias Amazon EC2, no tiene que crear credenciales exclusivas para cada instancia.
Para obtener un fragmento de código de plantilla que muestre cómo lanzar una instancia con un rol, consulte Ejemplos de plantillas de rol de IAM.
nota
Las aplicaciones en las instancias que utilizan credenciales de seguridad temporales pueden llamar a cualquier acción de AWS CloudFormation. No obstante, puesto que AWS CloudFormation interactúa con muchos otros servicios de AWS, debe verificar que todos los servicios que desea utilizar admiten las credenciales de seguridad temporales. Para obtener más información, consulte Servicios de AWS que admiten AWS STS.
Concesión de acceso temporal (acceso federado)
En algunos casos, es posible que desee conceder a los usuarios sin credenciales de AWS acceso temporal a su Cuenta de AWS. En lugar de crear y eliminar credenciales a largo plazo siempre que desee conceder acceso temporal, utilice AWS Security Token Service (AWS STS). Por ejemplo, puede utilizar roles de IAM. Desde un rol de IAM, puede crear mediante programación y, a continuación, distribuir muchas credenciales de seguridad temporales (que incluyen una clave de acceso, una clave de acceso secreta y un token de seguridad). Estas credenciales tienen una vida útil limitada, por lo que no pueden utilizarse para obtener acceso a su Cuenta de AWS cuando vencen. También puede crear varios roles de IAM con el fin de conceder a usuarios individuales diferentes niveles de permisos. Los roles de IAM resultan útiles para situaciones como identidades federadas y el inicio de sesión único.
Una identidad federada es una identidad diferenciada que puede utilizar en varios sistemas. Para los usuarios de nivel Enterprise con un sistema de identidad on-premises establecido (como, por ejemplo, LDAP o Active Directory), puede tratar todas las autenticaciones con el sistema de identidad on-premises. Cuando se ha autenticado a un usuario, proporciona credenciales de seguridad temporales del usuario o del rol de IAM apropiado. Por ejemplo, puede crear un rol de administrators y un rol de developers, en los que los administradores tengan acceso completo a la cuenta de AWS y los desarrolladores tengan permiso para trabajar únicamente con pilas de AWS CloudFormation. Una vez que un administrador está autenticado, el administrador está autorizado para obtener credenciales de seguridad temporales del rol administrators. Sin embargo, para los desarrolladores, pueden obtener credenciales de seguridad temporales solo de la función developers.
También puede conceder a los usuarios federados acceso a la AWS Management Console. Después de que los usuarios se autentican con su sistema de identidad on-premises, puede construir mediante programación una URL temporal que proporcione acceso directo a la AWS Management Console. Cuando los usuarios utilizan la URL temporal, no es necesario que inicien sesión en AWS, dado que ya se han autenticado (inicio de sesión único). Además, dado que la URL se construye a partir de las credenciales de seguridad temporales de los usuarios, los permisos que están disponibles con esas credenciales determinan qué permisos tienen los usuarios en la AWS Management Console.
Puede utilizar diferentes API de AWS STS para generar credenciales de seguridad temporales. Para obtener más información acerca de qué API utilizar, consulte Credenciales de seguridad temporales en la Usar credenciales de seguridad temporales.
importante
No puede trabajar con IAM cuando utiliza credenciales de seguridad temporales que se han generado a partir de la API GetFederationToken. En lugar de ello, si tiene que trabajar con IAM, utilice credenciales de seguridad temporales de un rol.
AWS CloudFormation interactúa con muchos otros servicios de AWS. Al utilizar credenciales de seguridad temporales con AWS CloudFormation, verifique que todos los servicios que desea utilizar son compatibles con las credenciales de seguridad temporales. Para obtener más información, consulte Servicios de AWS que admiten AWS STS.
Para obtener más información, consulte los siguientes recursos relacionados en la Usar credenciales de seguridad temporales:
