Identity and Access Management para Amazon EC2 - Amazon Elastic Compute Cloud

Identity and Access Management para Amazon EC2

Las credenciales de seguridad sirven para identificarlo ante los servicios de AWS y le otorgan uso ilimitado de sus recursos de AWS, como, por ejemplo, los recursos de Amazon EC2. Puede utilizar características de Amazon EC2 y AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen sus recursos de Amazon EC2 sin necesidad de compartir sus credenciales de seguridad. Puede utilizar IAM para controlar la forma en que otros usuarios usan los recursos de su cuenta de AWS y puede utilizar los grupos de seguridad para controlar el acceso a sus instancias de Amazon EC2. Puede optar por permitir un uso completo o limitado de sus recursos de Amazon EC2.

Acceso de red a su instancia

Un grupo de seguridad funciona como un firewall que controla el tráfico que puede llegar a una o varias instancias. Cuando lanza una instancia, la asigna a uno o varios grupos de seguridad. Añade reglas a cada grupo de seguridad que controla el tráfico de la instancia. Puede modificar las reglas de un grupo de seguridad en cualquier momento; las nuevas reglas se aplican automáticamente a todas las instancias a las que el grupo de seguridad esté asignado.

Para obtener más información, consulte Autorizar tráfico entrante para las instancias de Linux.

Atributos de los permisos de Amazon EC2

Su organización puede tener varias cuentas de AWS. Amazon EC2 le permite especificar cuentas de AWS adicionales que pueden utilizar sus imágenes de máquina de Amazon (AMI) e instantáneas de Amazon EBS. Estos permisos funcionan únicamente en el nivel de cuenta de AWS; no puede restringir los permisos a usuarios concretos de la cuenta de AWS especificada. Todos los usuarios de la cuenta de AWS que ha especificado pueden utilizar la AMI o la instantánea.

Cada AMI tiene un atributo LaunchPermission que controla las cuentas de AWS que pueden obtener acceso a ella. Para obtener más información, consulte Convertir una AMI en pública.

Cada instantánea de Amazon EBS tiene un atributo createVolumePermission que controla qué cuentas de AWS pueden utilizar la instantánea. Para obtener más información, consulte Compartir una instantánea de Amazon EBS.

IAM y Amazon EC2

IAM le permite hacer lo siguiente:

  • Crear usuarios y grupos en su cuenta de AWS

  • Asignar credenciales de seguridad únicas a cada usuario en su cuenta de AWS

  • Controlar los permisos de cada usuario para realizar tareas mediante recursos de AWS

  • Permitir a los usuarios de otra cuenta de AWS compartir sus recursos de AWS

  • Crear roles para su cuenta de AWS y definir los usuarios o servicios que pueden asumirlos

  • Usar identidades existentes para que su compañía conceda permisos para realizar tareas mediante recursos de AWS

Si utiliza IAM con Amazon EC2, podrá controlar si los usuarios de su organización pueden realizar una tarea mediante acciones específicas de la API de Amazon EC2 y si pueden utilizar recursos específicos de AWS.

Este tema le ayuda a responder las preguntas siguientes:

  • ¿Cómo puedo crear grupos y usuarios en IAM?

  • ¿Cómo creo una política?

  • ¿Qué políticas de IAM necesito para llevar a cabo tareas en Amazon EC2?

  • ¿Cómo concedo permisos para realizar acciones en Amazon EC2?

  • ¿Cómo concedo permisos para realizar acciones en recursos específicos de Amazon EC2?

Crear un grupo y usuarios de IAM

Para crear un grupo de IAM

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija User groups (Grupos de usuarios).

  3. Elija Create group.

  4. En User group name (Nombre del grupo de usuarios), ingrese un nombre para el grupo.

  5. En Attach permission policies (Adjuntar políticas de permisos), seleccione una política administrada de AWS. Por ejemplo, para Amazon EC2, una de las siguientes políticas administradas de AWS puede satisfacer sus necesidades:

    • PowerUserAccess

    • ReadOnlyAccess

    • AmazonEC2FullAccess

    • AmazonEC2ReadOnlyAccess

  6. Elija Create group.

El nuevo grupo aparecerá en la lista Group Name (Nombre del grupo).

Para crear un usuario de IAM, añada el usuario a su grupo y cree una contraseña para el usuario

  1. En el panel de navegación, seleccione Users (Usuarios).

  2. Elija Agregar usuarios.

  3. En User name (Nombre de usuario), introduzca un nombre de usuario.

  4. En Select AWS access type (Seleccionar tipo de acceso de AWS), seleccione Access key - Programmatic access (Clave de acceso: acceso mediante programación) y Password - AWS Management Console access (Contraseña: acceso a la AWS Management Console).

  5. En Console password (Contraseña de la consola), elija una de las opciones siguientes:

    • Autogenerated password (Contraseña generada automáticamente. Cada usuario obtiene una contraseña generada de forma aleatoria que cumple la política de contraseñas en vigor (si existe). Puede ver o descargar las contraseñas cuando llegue a la página Final.

    • Custom password (Contraseña personalizada. A cada usuario se le asigna la contraseña que se introduzca en el cuadro.

  6. Elija Next: Permissions.

  7. En la página Set permissions (Establecer permisos), elija Add user to group (Añadir un usuario al grupo). Seleccione la casilla de verificación situada junto al grupo que ha creado antes.

  8. Elija Next: Tags (Siguiente: Etiquetas).

  9. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetado de los recursos de IAM.

  10. Elija Next: Review (Siguiente. Revisar) para ver todas las opciones que ha realizado hasta este punto. Cuando esté listo para continuar, elija Create user (Crear usuario).

  11. Para ver las claves de acceso de los usuarios (los ID de clave de acceso y las claves de acceso secretas), elija Show (Mostrar) junto a cada contraseña y clave de acceso secreta que desee ver. Para guardar las claves de acceso, elija Download .csv (Descargar archivo .csv) y, a continuación, guarde el archivo en un lugar seguro.

    importante

    No podrá recuperar la clave de acceso secreta después de completar este paso; si la extravía, tendrá que crear una nueva.

  12. Facilite a cada usuario sus credenciales (claves de acceso y contraseña); eso les permitirá utilizar los servicios en función de los permisos que haya especificado para el grupo de IAM. Puede elegir Send email (Enviar email) junto a cada usuario. Su cliente de correo local se abrirá con un borrador que puede personalizar y enviar. La plantilla de correo electrónico contiene los detalles siguientes por cada usuario:

    • Nombre de usuario

    • URL de la página de inicio de sesión de la cuenta. Utilice el ejemplo siguiente y realice la sustitución con el número de ID o de alias de cuenta correcto:

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    Para obtener más información, consulte Cómo inician sesión los usuarios de IAM en AWS.

    importante

    La contraseña del usuario no está incluida en el correo electrónico. Debe proporcionarla al usuario de forma que cumpla con las directrices de seguridad de su organización.

  13. Elija Close (Cerrar).

Para obtener más información sobre IAM, consulte lo siguiente: