Políticas de IAM para Amazon EC2
De forma predeterminada, los usuarios no tienen permiso para crear ni modificar recursos de Amazon EC2, ni para realizar tareas con la API de Amazon EC2, la consola de Amazon EC2 o la CLI. Para permitir a los usuarios crear o modificar recursos y realizar tareas, debe crear políticas de IAM que concedan a los usuarios permisos para utilizar los recursos y las acciones de la API que necesitarán y, a continuación, asociar dichas políticas a los usuarios, grupos o roles de IAM que requieran dichos permisos.
Cuando asocia una política a un usuario, grupo de usuarios o rol, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados. Para obtener más información general sobre las políticas de IAM, consulte Políticas y permisos en IAM en la Guía del usuario de IAM. Para obtener más información sobre cómo crear y administrar políticas de IAM personalizadas, consulte Administración de políticas de IAM.
Introducción
Una política de IAM debe conceder o denegar permisos para usar una o varias acciones de Amazon EC2. Asimismo, debe especificar los recursos que se pueden utilizar con la acción: pueden ser todos los recursos o, en algunos casos, recursos específicos. La política también puede incluir condiciones que se aplican al recurso.
Amazon EC2 admite parcialmente permisos de nivel de recurso. Esto significa que en algunas acciones de la API de EC2 no puede especificar qué recurso puede utilizar un usuario para la acción en cuestión. En lugar de ello, tiene que permitir a los usuarios trabajar con todos los recursos para dicha acción.
| Tarea | Tema |
|---|---|
| Comprender la estructura básica de una política | Sintaxis de la política |
| Definir acciones en una política | Acciones de Amazon EC2 |
| Definir recursos específicos en una política | Nombres de recursos de Amazon (ARN) para Amazon EC2 |
| Aplicar condiciones para usar los recursos | Claves de condición de Amazon EC2 |
| Trabajar con permisos de nivel de recursos disponibles para Amazon EC2 | Acciones, recursos y claves de condiciones para Amazon EC2 |
| Probar su política | |
| Generar una política de IAM | |
| Políticas de ejemplo para una CLI o SDK | Políticas de ejemplo para trabajar con la AWS CLI o un SDK de AWS |
| Políticas de ejemplo para la consola de Amazon EC2 | Políticas de ejemplo para trabajar en la consola de Amazon EC2 |
Concesión de permisos a usuarios, grupos y roles
A continuación, se muestran ejemplos de algunas políticas administradas por AWS que están disponibles para utilizarse si satisfacen sus necesidades:
-
PowerUserAccess -
ReadOnlyAccess -
AmazonEC2FullAccess -
AmazonEC2ReadOnlyAccess
Para obtener más información sobre las políticas administradas por AWS disponibles para funcionar con Amazon EC2, consulte Políticas administradas por AWS para Amazon Elastic Compute Cloud.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.
-
Usuarios administrados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones de Creación de un rol para un proveedor de identidades de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
