Controlar el acceso con AWS Identity and Access Management - AWS CloudFormation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controlar el acceso con AWS Identity and Access Management

Con AWS Identity and Access Management (IAM), puede crear usuarios de IAM para controlar quién tiene acceso a qué recursos en su cuenta de AWS. Puede utilizar IAM con AWS CloudFormation para controlar lo que los usuarios pueden hacer con AWS CloudFormation, como, por ejemplo, si pueden ver las plantillas de pila, crear pilas o eliminar pilas.

Además de acciones de AWS CloudFormation, puede administrar qué servicios y recursos de AWS están disponibles para cada usuario. De esa manera, puede controlar a qué recursos pueden obtener acceso los usuarios cuando utilizan AWS CloudFormation. Por ejemplo, puede especificar qué usuarios pueden crear instancias Amazon EC2, terminar instancias de base de datos o actualizar VPC. Estos mismos permisos se aplican siempre que utilizan AWS CloudFormation para realizar esas acciones.

Para obtener más información acerca de todos los servicios cuyo acceso puede controlar, consulte Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM.

Acciones de AWS CloudFormation

Al crear un grupo o un usuario de IAM en su cuenta de AWS, puede asociar una política de IAM con dicho grupo o usuario, que especifica los permisos que desea conceder. Por ejemplo, imagine que tiene un grupo de desarrolladores de nivel inicial. Puede crear un grupo Junior application developers que incluya a todos los desarrolladores de nivel inicial. A continuación, puede asociar una política a ese grupo que permite a los usuarios ver solamente pilas de AWS CloudFormation. En esta situación, es posible que tenga una política como la que se muestra en el siguiente ejemplo:

ejemplo Una política de ejemplo que concede permisos para ver la pila

{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources" ], "Resource":"*" }] }

La política otorga permisos a todas las acciones de la API DescribeStack que aparecen en el elemento Action.

nota

Si no especifica un nombre de pila o ID en su declaración, también debe conceder permiso para utilizar todos los recursos para la acción utilizando el comodín * para el elemento Resource.

Además de las acciones de AWS CloudFormation, los usuarios de IAM que crean o eliminan pilas requieren permisos adicionales que dependen de las plantillas de pilas. Por ejemplo, si tiene una plantilla que describe una cola Amazon SQS, el usuario debe tener los permisos correspondientes para que las acciones de Amazon SQS creen correctamente la pila, tal y como se muestra en la siguiente política de ejemplo:

ejemplo Una política de ejemplo que concede acciones de creación y visualización de pila y todas las acciones Amazon SQS

{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Action":[ "sqs:*", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:ValidateTemplate" ], "Resource":"*" }] }

Para obtener una lista de todas las acciones de AWS CloudFormation que puede permitir o denegar, consulte AWS CloudFormation API Reference.

Acciones específicas de la consola de AWS CloudFormation

Los usuarios de IAM que utilizan la consola de AWS CloudFormation requieren permisos adicionales que no son necesarios para utilizar las API de AWS Command Line Interface o de AWS CloudFormation. En comparación con la CLI y la API, la consola ofrece características adicionales que requieren permisos adicionales, como, por ejemplo, las cargas de plantilla para buckets de Amazon S3 y listas desplegables para tipos de parámetros específicos de AWS.

Para todas las acciones siguientes, conceda permisos a todos los recursos; no limite las acciones a pilas o buckets específicos.

La siguiente acción necesaria es utilizada únicamente por la consola de AWS CloudFormation y no se documenta en la referencia de la API. La acción permite a los usuarios cargar plantillas para buckets de Amazon S3.

cloudformation:CreateUploadBucket

Cuando los usuarios cargan plantillas, necesitan los siguientes permisos de Amazon S3:

s3:PutObject s3:ListBucket s3:GetObject s3:CreateBucket

Para las plantillas con tipos de parámetros específicos de AWS, los usuarios necesitan permisos para realizar las llamadas a la API. Por ejemplo, si una plantilla incluye el tipo de parámetro AWS::EC2::KeyPair::KeyName, los usuarios necesitan permiso para llamar a la acción DescribeKeyPairs de EC2 (así es como la consola obtiene valores para la lista desplegable de parámetros). Los siguientes ejemplos son acciones que los usuarios necesitan para otros tipos de parámetros:

ec2:DescribeSecurityGroups (for the AWS::EC2::SecurityGroup::Id parameter type) ec2:DescribeSubnets (for the Subnet::Id parameter type) ec2:DescribeVpcs (for the AWS::EC2::VPC::Id parameter type)

Recursos de AWS CloudFormation

AWS CloudFormation admite permisos de nivel de recursos, para que pueda especificar acciones para una pila específica, tal y como se muestra en la siguiente política:

ejemplo Una política de ejemplo que deniegue las acciones de eliminación y actualización de pila para MyProductionStack

{ "Version":"2012-10-17", "Statement":[{ "Effect":"Deny", "Action":[ "cloudformation:DeleteStack", "cloudformation:UpdateStack" ], "Resource":"arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/*" }] }

La política anterior utiliza un comodín al final del nombre de la pila a fin de denegar la pila de eliminación y la pila de actualización en el ID de pila completo (como, por ejemplo, arn:aws:cloudformation:us-east-1:123456789012:stack/MyProductionStack/abc9dbf0-43c2-11e3-a6e8-50fa526be49c) y en el nombre de la pila (como, por ejemplo, MyProductionStack).

Para permitir que las transformaciones AWS::Serverless creen un cambio, la política debe incluir el permiso en el nivel de recursos arn:aws:cloudformation:<region>:aws:transform/Serverless-2016-10-31, tal y como se muestra en la política siguiente:

ejemplo Una política de ejemplo que permite la acción de creación de conjunto de cambios para la transformación

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "cloudformation:CreateChangeSet" ], "Resource": "arn:aws:cloudformation:us-west-2:aws:transform/Serverless-2016-10-31" }] }

Política de ejemplo que concede permisos de conjuntos de pilas administrados por servicio

A continuación se muestra una política de IAM de ejemplo que concede permisos de conjunto de pilas administrados por servicio a una entidad principal (usuario, rol o grupo). Un usuario con esta política solo puede realizar operaciones en conjuntos de pilas con plantillas que contengan tipos de recursos de Amazon S3 (AWS::S3::*) o el tipo de recurso AWS::SES::ConfigurationSet. Si ha iniciado sesión en la cuenta maestra de la organización con ID 123456789012, el usuario solo puede realizar operaciones en conjuntos de pila que tengan como destino la unidad organizativa con ID ou-1fsfsrsdsfrewr, y solo puede realizar operaciones en el conjunto de pilas con ID stack-set-id que se dirija a la cuenta de AWS con ID 987654321012.

Las operaciones de conjunto de pila fallan si la plantilla de conjunto de pilas contiene tipos de recursos distintos de los especificados en la política, o si los destinos de implementación son unidades organizativas o ID de cuenta distintos de los especificados en la política para las cuentas maestras y los conjuntos de pilas correspondientes.

Estas restricciones de políticas solo se aplican cuando las operaciones de conjunto de pilas se dirigen a las regiones us-east-1, us-west-2 o eu-west-2.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/*", "arn:aws:cloudformation:*::type/resource/AWS-S3-*", "arn:aws:cloudformation:us-west-2::type/resource/AWS-SES-ConfigurationSet", "arn:aws:cloudformation::123456789012:stackset-target/*/ou-1fsfsrsdsfrewr", "arn:aws:cloudformation::123456789012:stackset-target/stack-set-id/987654321012" ], "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:TargetRegion": [ "us-east-1", "us-west-2", "eu-west-1" ] } } } ] }

Condiciones de AWS CloudFormation

En una política de IAM, tiene la opción de especificar las condiciones que controlan cuándo está en vigor una política. Por ejemplo, puede definir una política que permite a los usuarios de IAM crear una pila solo cuando se especifica una URL de plantilla determinada. Puede definir las condiciones específicas de AWS CloudFormation y las condiciones generales de AWS como, por ejemplo, DateLessThan, que especifica en qué momento deja de estar en vigor una política. Para obtener más información y una lista de las condiciones generales de AWS, consulte Condition (Condición) en la Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.

nota

No utilice la condición aws:SourceIp que se aplica a todo AWS. AWS CloudFormation aprovisiona recursos con su propia dirección IP, no la dirección IP de la solicitud de origen. Por ejemplo, al crear una pila, AWS CloudFormation realiza solicitudes desde su dirección IP para lanzar una instancia EC2 o para crear un bucket de S3, en lugar de hacerlo desde la dirección IP de la llamada CreateStack o el comando aws cloudformation create-stack.

En la siguiente lista se describen las condiciones específicas de AWS CloudFormation. Las condiciones se aplican únicamente cuando los usuarios crean o actualizan pilas:

cloudformation:ChangeSetName

Nombre de conjunto de cambios de AWS CloudFormation que desea asociar con una política. Utilice esta condición para controlar qué conjuntos de cambios pueden ejecutar o eliminar los usuarios de IAM.

cloudformation:ImportResourceTypes

Los tipos de recursos de plantilla que quiere asociar a una política como, por ejemplo, AWS::EC2::Instance. Utilice esta condición para controlar con qué tipos de recursos pueden trabajar los usuarios de IAM al importar recursos a una pila. Esta condición se compara con los tipos de recursos que los usuarios declaran en el parámetro ResourcesToImport, que es compatible actualmente solo para solicitudes de CLI y de API. Al utilizar este parámetro, debe especificar todos los tipos de recursos que desea que los usuarios controlen durante las operaciones de importación. Para obtener más información sobre el parámetro ResourcesToImport, consulte la acción CreateChangeSet en la AWS CloudFormation API Reference.

Para obtener una lista de posibles ResourcesToImport, consulte Recursos que admiten operaciones de importación.

Utilice la convención de nomenclatura de recursos de tres partes para especificar con qué tipos de recursos pueden trabajar los usuarios, desde todos los recursos de una organización hasta un tipo de recurso individual.

organization::*

Especifique todos los tipos de recursos para una organización determinada.

organization::service_name::*

Especifique todos los tipos de recursos para el servicio especificado dentro de una organización determinada.

organization::service_name::resource_type

Especifique un tipo de recurso específico.

Por ejemplo:

AWS::*

Especifique todos los tipos de recursos de AWS admitidos.

AWS::service_name::*

Especifique todos los recursos admitidos de un servicio de AWS específico.

AWS::service_name::resource_type

Especifique un tipo de recurso de AWS específico, como, por ejemplo, AWS::EC2::Instance (todas las instancias EC2).

cloudformation:ResourceTypes

Los tipos de recursos de plantilla como, por ejemplo AWS::EC2::Instance, que desea asociar con una política. Utilice esta condición para controlar con qué tipo de recursos pueden trabajar los usuarios de IAM al crear o actualizar una pila. Esta condición se compara con los tipos de recursos que los usuarios declaran en el parámetro ResourceTypes, que es compatible actualmente solo para solicitudes de CLI y de API. Cuando se utiliza este parámetro, los usuarios deben especificar todos los tipos de recursos presentes en su plantilla. Para obtener más información sobre el parámetro ResourceTypes, consulte la acción CreateStack en la AWS CloudFormation API Reference.

Para obtener una lista de los tipos de recursos, consulte Referencia de tipos de recursos y propiedades de AWS.

Utilice la convención de nomenclatura de recursos de tres partes para especificar con qué tipos de recursos pueden trabajar los usuarios, desde todos los recursos de una organización hasta un tipo de recurso individual.

organization::*

Especifique todos los tipos de recursos para una organización determinada.

organization::service_name::*

Especifique todos los tipos de recursos para el servicio especificado dentro de una organización determinada.

organization::service_name::resource_type

Especifique un tipo de recurso específico.

Por ejemplo:

AWS::*

Especifique todos los tipos de recursos de AWS admitidos.

AWS::service_name::*

Especifique todos los recursos admitidos de un servicio de AWS específico.

AWS::service_name::resource_type

Especifique un tipo de recurso de AWS específico, como, por ejemplo, AWS::EC2::Instance (todas las instancias EC2).

Alexa::ASK::*

Especifique todos los tipos de recursos en Alexa Skill Kit.

Alexa::ASK::Skill

Especifique el tipo de recursos de Skill individual.

Custom::*

Especifique todos los recursos personalizados.

Para obtener más información sobre los recursos personalizados, consulte Recursos personalizados.

Custom::resource_type

Especifique un tipo de recurso personalizado específico.

Para obtener más información sobre los recursos personalizados, consulte Recursos personalizados.

cloudformation:RoleARN

El Nombre de recurso de Amazon (ARN) de un rol de servicio de IAM que desea asociar con una política. Utilice esta condición para controlar qué rol de servicio pueden utilizar los usuarios de IAM al trabajar con pilas o conjuntos de cambios.

cloudformation:StackPolicyUrl

Una URL de política de pila de Amazon S3 que desea asociar con una política. Utilice esta condición para controlar qué políticas de pila pueden asociar los usuarios de IAM con una pila durante una acción de creación o actualización de la pila. Para obtener más información sobre las políticas de pila, consulte Impida actualizaciones en los recursos de la pila.

nota

Para garantizar que los usuarios de IAM solo pueden crear o actualizar pilas con las políticas de pila que ha subido, establezca el bucket de S3 en read only para dichos usuarios.

cloudformation:TemplateUrl

Una URL de plantilla de Amazon S3 que desea asociar con una política. Utilice esta condición para controlar qué plantillas pueden usar los usuarios de IAM al crear o actualizar pilas.

nota

Para garantizar que los usuarios de IAM solo pueden crear o actualizar pilas con las plantillas que ha subido, establezca el bucket de S3 en read only para dichos usuarios.

nota

Las siguientes condiciones específicas de AWS CloudFormation se aplican a los parámetros de API del mismo nombre:

  • cloudformation:ChangeSetName

  • cloudformation:RoleARN

  • cloudformation:StackPolicyUrl

  • cloudformation:TemplateUrl

Por ejemplo, cloudformation:TemplateUrl solo se aplica al parámetro TemplateUrl para CreateStackUpdateStack y las API CreateChangeSet.

Ejemplos

La siguiente política de ejemplo permite a los usuarios utilizar únicamente la URL de plantilla https://s3.amazonaws.com/testbucket/test.template para crear o actualizar una pila.

ejemplo Condición de URL de plantilla

{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack", "cloudformation:UpdateStack" ], "Resource" : "*", "Condition" : { "ForAllValues:StringEquals" : { "cloudformation:TemplateUrl" : [ "https://s3.amazonaws.com/testbucket/test.template" ] } } } ] }

La política de ejemplo siguiente permite a los usuarios completar todas las operaciones de AWS CloudFormation excepto las operaciones de importación.

ejemplo Condición de importación de tipos de recurso

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAllStackOperations", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" }, { "Sid": "DenyImport", "Effect": "Deny", "Action": "cloudformation:*", "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "cloudformation:ImportResourceTypes": [ "*" ] } } } ] }

La política de ejemplo siguiente permite todas las operaciones de pila, así como las operaciones de importación solo en recursos especificados (en este ejemplo, AWS::S3::Bucket).

ejemplo Condición de importación de tipos de recurso

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowImport", "Effect": "Allow", "Action": "cloudformation:*", "Resource": "*" "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudformation:ImportResourceTypes": [ "AWS::S3::Bucket" ] } } } ] }

La siguiente política de ejemplo permite a los usuarios crear pilas pero deniega las solicitudes si la plantilla de la pila incluye cualquier recurso del servicio de IAM. La política también requiere que los usuarios especifiquen el parámetro ResourceTypes, que solo está disponible para las solicitudes de la API y la CLI. Esta política utiliza declaraciones de denegación explícita de modo que si cualquier otra política otorga permisos adicionales, esta política siempre permanecerá en vigor (una declaración de denegación explícita siempre anula una declaración de permiso explícita).

ejemplo Condición de tipo de recurso

{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*" }, { "Effect" : "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAnyValue:StringLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] } } }, { "Effect": "Deny", "Action" : [ "cloudformation:CreateStack" ], "Resource": "*", "Condition": { "Null": { "cloudformation:ResourceTypes": "true" } } } ] }

La siguiente política de ejemplo es parecida al ejemplo anterior. La política permite a los usuarios crear una pila salvo si la plantilla de la pila incluye cualquier recurso del servicio de IAM. También requiere que los usuarios especifiquen el parámetro ResourceTypes, que solo está disponible para las solicitudes de la API y la CLI. Esta política es más sencilla, pero no utiliza declaraciones de denegación explícita. Otras políticas, que conceden permisos adicionales, podrían anular esta política.

ejemplo Condición de tipo de recurso

{ "Version":"2012-10-17", "Statement":[ { "Effect" : "Allow", "Action" : [ "cloudformation:CreateStack" ], "Resource" : "*", "Condition" : { "ForAllValues:StringNotLikeIfExists" : { "cloudformation:ResourceTypes" : [ "AWS::IAM::*" ] }, "Null":{ "cloudformation:ResourceTypes": "false" } } } ] }

Reconocimiento de recursos de IAM en plantillas de AWS CloudFormation

Antes de crear una pila, AWS CloudFormation valida la plantilla. Durante la validación, AWS CloudFormation comprueba su la plantilla si hay recursos de IAM que haya podido crear. Los recursos de IAM como, por ejemplo, un usuario de IAM con acceso completo, pueden obtener acceso a cualquier recurso en su cuenta de AWS y modificarlo. Por lo tanto, le recomendamos que revise los permisos asociados con cada recurso de IAM antes de proceder para no crear involuntariamente recursos con permisos escalados. Para garantizar que lo ha hecho, debe confirmar que la plantilla contiene dichos recursos, lo que concede a AWS CloudFormation las capacidades especificadas antes de crear la pila.

Puede confirmar las capacidades de plantillas de AWS CloudFormation a través de la consola de AWS CloudFormation, AWS Command Line Interface (CLI) o la API:

  • En la consola de AWS CloudFormation, en la página Review (Revisar) de los asistentes para crear o actualizar una pila, elija I acknowledge that this template may create IAM resources (Confirmo que esta plantilla pueda crear recursos de IAM).

  • En la CLI, cuando utilice los comandos aws cloudformation create-stack y aws cloudformation update-stack, especifique el valor CAPABILITY_IAM o CAPABILITY_NAMED_IAM para el parámetro --capabilities. Si la plantilla incluye recursos de IAM, puede especificar cualquiera de las dos capacidades. Si la plantilla incluye nombres personalizados para recursos de IAM, debe especificar CAPABILITY_NAMED_IAM.

  • En la API, cuando utiliza las acciones CreateStack y UpdateStack, especifique Capabilities.member.1=CAPABILITY_IAM o Capabilities.member.1=CAPABILITY_NAMED_IAM. Si la plantilla incluye recursos de IAM, puede especificar cualquiera de las dos capacidades. Si la plantilla incluye nombres personalizados para recursos de IAM, debe especificar CAPABILITY_NAMED_IAM.

importante

Si la plantilla contiene recursos de IAM con nombre personalizado, no cree varias pilas reutilizando la misma plantilla. Los recursos de IAM deben ser únicos globalmente en su cuenta. Si utiliza la misma plantilla para crear varias pilas en diferentes regiones, las pilas podrían compartir los mismos recursos de IAM, en lugar de que cada una tenga uno único. Los recursos compartidos entre pilas pueden tener consecuencias imprevistas de las que podría no recuperarse. Por ejemplo, si elimina o actualiza recursos de IAM compartidos en una pila, modificará involuntariamente los recursos de otras pilas.

Administración de credenciales para aplicaciones que se ejecutan en instancias Amazon EC2

Si tiene una aplicación que se ejecuta en una instancia Amazon EC2 y necesita realizar solicitudes a recursos de AWS como buckets de Amazon S3 o una tabla de DynamoDB, la aplicación necesita credenciales de seguridad de AWS. Sin embargo, distribuir e incrustar credenciales de seguridad a largo plazo en cada instancia lanzada es un reto y un posible riesgo para la seguridad. En lugar de utilizar credenciales a largo plazo, como credenciales de usuario de IAM, le recomendamos que cree un rol de IAM que esté asociado a una instancia Amazon EC2 cuando se lance la instancia. Una aplicación puede obtener credenciales de seguridad temporales para la instancia Amazon EC2. No tiene que incrustar credenciales a largo plazo en la instancia. Además, para facilitar la administración de credenciales, puede especificar tan solo un rol individual para múltiples instancias Amazon EC2, no tiene que crear credenciales exclusivas para cada instancia.

Para obtener un fragmento de código de plantilla que muestre cómo lanzar una instancia con un rol, consulte Ejemplos de plantillas de rol de IAM.

nota

Las aplicaciones en las instancias que utilizan credenciales de seguridad temporales pueden llamar a cualquier acción de AWS CloudFormation. No obstante, puesto que AWS CloudFormation interactúa con muchos otros servicios de AWS, debe verificar que todos los servicios que desea utilizar admiten las credenciales de seguridad temporales. Para obtener más información, consulte Servicios de AWS compatibles con AWS STS.

Concesión de acceso temporal (acceso federado)

En algunos casos, es posible que desee conceder a los usuarios sin credenciales de AWS acceso temporal a su cuenta de AWS. En lugar de crear y eliminar credenciales a largo plazo siempre que desee conceder acceso temporal, utilice AWS Security Token Service (AWS STS). Por ejemplo, puede utilizar roles de IAM. Desde un rol de IAM, puede crear mediante programación y, a continuación, distribuir muchas credenciales de seguridad temporales (que incluyen una clave de acceso, una clave de acceso secreta y un token de seguridad). Estas credenciales tienen una vida útil limitada, por lo que no pueden utilizarse para obtener acceso a su cuenta de AWS cuando vencen. También puede crear varios roles de IAM con el fin de conceder a usuarios individuales diferentes niveles de permisos. Los roles de IAM resultan útiles para situaciones como identidades federadas y el inicio de sesión único.

Una identidad federada es una identidad diferenciada que puede utilizar en varios sistemas. Para los usuarios de nivel Enterprise con un sistema de identidad on-premises establecido (como, por ejemplo, LDAP o Active Directory), puede tratar todas las autenticaciones con el sistema de identidad on-premises. Cuando se ha autenticado a un usuario, proporciona credenciales de seguridad temporales del usuario o del rol de IAM apropiado. Por ejemplo, puede crear un rol administrators y un rol developers, en los que los administradores tengan acceso completo a la cuenta de AWS y los desarrolladores tengan permiso para trabajar únicamente con pilas de AWS CloudFormation. Una vez que un administrador está autenticado, el administrador está autorizado para obtener credenciales de seguridad temporales del rol administrators. Sin embargo, para los desarrolladores, pueden obtener credenciales de seguridad temporales solo de la función developers.

También puede conceder a los usuarios federados acceso a la AWS Management Console. Después de que los usuarios se autentican con su sistema de identidad on-premises, puede construir mediante programación una URL temporal que proporcione acceso directo a la AWS Management Console. Cuando los usuarios utilizan la URL temporal, no es necesario que inicien sesión en AWS, ya que ya se han autenticado (inicio de sesión único). Además, dado que la URL se construye a partir de las credenciales de seguridad temporales de los usuarios, los permisos que están disponibles con esas credenciales determinan qué permisos tienen los usuarios en la AWS Management Console.

Puede utilizar diferentes API de AWS STS para generar credenciales de seguridad temporales. Para obtener más información acerca de qué API utilizar, consulte Credenciales de seguridad temporales en la Usar credenciales de seguridad temporales.

importante

No puede trabajar con IAM cuando utiliza credenciales de seguridad temporales que se han generado a partir de la API GetFederationToken. En lugar de ello, si tiene que trabajar con IAM, utilice credenciales de seguridad temporales de un rol.

AWS CloudFormation interactúa con muchos otros servicios de AWS. Al utilizar credenciales de seguridad temporales con AWS CloudFormation, verifique que todos los servicios que desea utilizar son compatibles con las credenciales de seguridad temporales. Para obtener más información, consulte Servicios de AWS compatibles con AWS STS.

Para obtener más información, consulte los siguientes recursos relacionados en la Usar credenciales de seguridad temporales: