Identity and Access Management para Amazon EC2

Las credenciales de seguridad sirven para identificarlo ante los servicios de AWS y le otorgan uso ilimitado de sus recursos de AWS, como, por ejemplo, los recursos de Amazon EC2. Puede utilizar características de Amazon EC2 y AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen sus recursos de Amazon EC2 sin necesidad de compartir sus credenciales de seguridad. Puede utilizar IAM para controlar la forma en que otros usuarios usan los recursos de su cuenta de AWS y puede utilizar los grupos de seguridad para controlar el acceso a sus instancias de Amazon EC2. Puede optar por permitir un uso completo o limitado de sus recursos de Amazon EC2.

Para conocer las prácticas recomendadas destinadas a asegurar los recursos de AWS que utilizan IAM, consulte Prácticas recomendadas de seguridad en IAM.

Contenido

• Acceso de red a su instancia
• Atributos de los permisos de Amazon EC2
• IAM y Amazon EC2
• Políticas de IAM para Amazon EC2
• Políticas administradas por AWS para Amazon Elastic Compute Cloud
• Roles de IAM para Amazon EC2
• Autorizar tráfico entrante para las instancias de Windows

Acceso de red a su instancia

Un grupo de seguridad funciona como un firewall que controla el tráfico que puede llegar a una o varias instancias. Cuando lanza una instancia, la asigna a uno o varios grupos de seguridad. Añade reglas a cada grupo de seguridad que controla el tráfico de la instancia. Puede modificar las reglas de un grupo de seguridad en cualquier momento; las nuevas reglas se aplican automáticamente a todas las instancias a las que el grupo de seguridad esté asignado.

Para obtener más información, consulte Autorizar tráfico entrante para las instancias de Windows.

Atributos de los permisos de Amazon EC2

Su organización puede tener varias cuentas de AWS. Amazon EC2 le permite especificar cuentas de AWS adicionales que pueden utilizar sus imágenes de máquina de Amazon (AMI) e instantáneas de Amazon EBS. Estos permisos funcionan únicamente en el nivel de cuenta de AWS; no puede restringir los permisos a usuarios concretos de la cuenta de AWS especificada. Todos los usuarios de la cuenta de AWS que ha especificado pueden utilizar la AMI o la instantánea.

Cada AMI tiene un atributo LaunchPermission que controla las cuentas de AWS que pueden obtener acceso a ella. Para obtener más información, consulte Convertir una AMI en pública.

Cada instantánea de Amazon EBS tiene un atributo createVolumePermission que controla qué cuentas de AWS pueden utilizar la instantánea. Para obtener más información, consulte Compartir una instantánea de Amazon EBS en la Guía del usuario de Amazon EBS.

IAM y Amazon EC2

IAM le permite hacer lo siguiente:

• Crear usuarios y grupos en su Cuenta de AWS

• Asignar credenciales de seguridad únicas a cada usuario en su Cuenta de AWS

• Controlar los permisos de cada usuario para realizar tareas mediante recursos de AWS

• Permitir a los usuarios de otra Cuenta de AWS compartir sus recursos de AWS

• Crear roles para su Cuenta de AWS y definir los usuarios o servicios que pueden asumirlos

• Usar identidades existentes para que su compañía conceda permisos para realizar tareas mediante recursos de AWS

Si utiliza IAM con Amazon EC2, podrá controlar si los usuarios de su organización pueden realizar una tarea mediante acciones específicas de la API de Amazon EC2 y si pueden utilizar recursos específicos de AWS.

Este tema le ayuda a responder las preguntas siguientes:

• ¿Cómo puedo crear grupos y usuarios en IAM?

• ¿Cómo creo una política?

• ¿Qué políticas de IAM necesito para llevar a cabo tareas en Amazon EC2?

• ¿Cómo concedo permisos para realizar acciones en Amazon EC2?

• ¿Cómo concedo permisos para realizar acciones en recursos específicos de Amazon EC2?

Creación de usuarios, grupos y roles

Puede crear usuarios y grupos para su Cuenta de AWS y, a continuación, asignarles los permisos que necesiten. Como práctica recomendada, los usuarios deben adquirir los permisos al asumir roles de IAM. Para obtener más información sobre cómo configurar usuarios y grupos para su Cuenta de AWS, consulte Configuración para usar Amazon EC2.

Un rol de IAM es una identidad de IAM que puede crear en su cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM en que se trata de una identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Para obtener más información sobre cómo crear roles de IAM y conceder permisos con ellos, consulte Roles de IAM para Amazon EC2.

Temas relacionados de

Para obtener más información sobre IAM, consulte lo siguiente:

• Políticas de IAM para Amazon EC2

• Roles de IAM para Amazon EC2

• AWS Identity and Access Management (IAM)

• Guía del usuario de IAM