Amazon Elastic Compute Cloud
Guía del usuario de instancias de Linux

Control del acceso a los recursos de Amazon EC2

Las credenciales de seguridad sirven para identificarlo ante los servicios de AWS y le conceden un uso ilimitado de sus recursos de AWS como, por ejemplo, los recursos de Amazon EC2. Puede utilizar características de Amazon EC2 e AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen sus recursos de Amazon EC2 sin necesidad de compartir sus credenciales de seguridad. Puede utilizar IAM para controlar cómo otros usuarios utilizan recursos en su cuenta de AWS y utilizar los grupos de seguridad para controlar el acceso a sus instancias Amazon EC2. Puede optar por permitir un uso completo o limitado de sus recursos de Amazon EC2.

Acceso de red a su instancia

Un grupo de seguridad funciona como un firewall que controla el tráfico que puede llegar a una o varias instancias. Cuando lanza una instancia, la asigna a uno o varios grupos de seguridad. Añade reglas a cada grupo de seguridad que controla el tráfico de la instancia. Puede modificar las reglas de un grupo de seguridad en cualquier momento; las nuevas reglas se aplican automáticamente a todas las instancias a las que el grupo de seguridad esté asignado.

Para obtener más información, consulte Autorización del tráfico de entrada para sus instancias de Linux.

Atributos de los permisos de Amazon EC2

Puede que su organización tenga varias cuentas de AWS. Amazon EC2 le permite especificar cuentas de AWS adicionales que pueden utilizar sus imágenes de máquina de Amazon (AMI) e instantáneas de Amazon EBS. Estos permisos funcionan únicamente en el nivel de cuenta de AWS; no puede restringir los permisos a usuarios concretos de la cuenta de AWS especificada. Todos los usuarios de la cuenta de AWS que ha especificado pueden utilizar la AMI o la instantánea.

Cada AMI tiene un atributo LaunchPermission que controla las cuentas de AWS que pueden obtener acceso a ella. Para obtener más información, consulte Conversión de una AMI en pública.

Cada instantánea de Amazon EBS tiene un atributo createVolumePermission que controla las cuentas de AWS que pueden utilizar la instantánea. Para obtener más información, consulte Uso compartido de una instantánea de Amazon EBS.

IAM y Amazon EC2

IAM le permite hacer lo siguiente:

  • Crear usuarios y grupos en su cuenta de AWS

  • Asignar credenciales de seguridad únicas a cada usuario en su cuenta de AWS

  • Controlar los permisos de cada usuario para realizar tareas mediante recursos de AWS

  • Permitir a los usuarios de otra cuenta de AWS compartir sus recursos de AWS

  • Crear roles para su cuenta de AWS y definir los usuarios o servicios que pueden asumirlos

  • Usar identidades existentes para que su compañía conceda permisos para realizar tareas mediante recursos de AWS

Al utilizar IAM con Amazon EC2, puede controlar si los usuarios de su organización pueden realizar una tarea usando acciones específicas de la API de Amazon EC2 y si pueden utilizar recursos específicos de AWS.

Este tema le ayuda a responder las preguntas siguientes:

  • ¿Cómo puedo crear grupos y usuarios en IAM?

  • ¿Cómo creo una política?

  • ¿Qué políticas de IAM necesito para llevar a cabo tareas en Amazon EC2?

  • ¿Cómo concedo permisos para realizar acciones en Amazon EC2?

  • ¿Cómo concedo permisos para realizar acciones en recursos específicos de Amazon EC2?

Creación de un grupo y usuarios de IAM

Para crear un grupo de IAM

  1. Abra la consola de IAM, en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Groups (Grupos) y, a continuación, elija Create New Group (Crear nuevo grupo).

  3. En Group Name (Nombre del grupo), escriba un nombre para el grupo y seleccione Next Step (Paso siguiente).

  4. En la página Attach Policy (Asociar política), seleccione una política administrada por AWS y, a continuación, elija Next Step (Paso siguiente). Por ejemplo, para Amazon EC2, una de las siguientes políticas administradas por AWS puede servir para sus necesidades:

    • PowerUserAccess

    • ReadOnlyAccess

    • AmazonEC2FullAccess

    • AmazonEC2ReadOnlyAccess

  5. Elija Create Group.

El grupo nuevo figura en la lista Group Name (Nombre del grupo).

Para crear un usuario de IAM, añada el usuario a su grupo y cree una contraseña para el usuario

  1. En el panel de navegación, elija Users (Usuarios), Add user (Añadir usuario).

  2. En User name (Nombre de usuario), escriba un nombre de usuario.

  3. En Access type (Tipo de acceso), seleccione Programmatic access (Acceso mediante programación) y Consola de administración de AWS access (Acceso a la Consola de administración de AWS).

  4. En Console password (Contraseña de la consola), elija una de las opciones siguientes:

    • Autogenerated password (Contraseña generada automáticamente). Cada usuario obtiene una contraseña generada de forma aleatoria que cumple la política de contraseñas en vigor (si existe). Puede ver o descargar las contraseñas cuando llegue a la página Final.

    • Custom password (Contraseña personalizada). A cada usuario se le asigna la contraseña que se escribe en el cuadro.

  5. Elija Next: Permissions.

  6. En la página Set permissions (Establecer permisos), elija Add user to group (Añadir un usuario al grupo). Seleccione la casilla situada junto al grupo que ha creado antes y elija Next: Review (Siguiente: Revisar).

  7. Seleccione la opción Create user.

  8. Para ver las claves de acceso de los usuarios (los ID de clave de acceso y las claves de acceso secretas), elija Show (Mostrar) junto a cada contraseña y clave de acceso secreta que desee ver. Para guardar las claves de acceso, elija Download .csv (Descargar archivo .csv) y, a continuación, guarde el archivo en un lugar seguro.

    importante

    No podrá recuperar la clave de acceso secreta después de completar este paso; si la extravía, tendrá que crear una nueva.

  9. Elija Close (Cerrar).

  10. Dé a cada usuario sus credenciales (claves de acceso y contraseña); de esta forma podrán usar los servicios en función de los permisos que haya especificado para el grupo de IAM.

Para obtener más información sobre IAM, consulte lo siguiente: