Administración de identidades y accesos en Amazon SQS - Amazon Simple Queue Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de identidades y accesos en Amazon SQS

El acceso a Amazon SQS requiere credenciales queAWSpuede utilizar para autenticar las solicitudes. Estas credenciales deben tener permisos para obtener accesoAWSrecursos, como colas y mensajes de Amazon SQS. En las siguientes secciones presentamos más detalles acerca de cómo puede utilizarAWS Identity and Access Management(IAM)y Amazon SQS para ayudar a proteger sus recursos controlando quién puede obtener acceso a ellos.

Autenticación

Puede obtener acceso a AWS con los siguientes tipos de identidades:

  • Usuario raíz de Cuenta de AWS: cuando se crea una Cuenta de AWS por primera vez, se comienza con una única identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar el usuario final exclusivamente para crear al primer usuario de IAM. A continuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunas tareas de administración de cuentas y servicios.

  • Usuario de IAM— UnUsuario de IAMes una identidad dentro de tuCuenta de AWSque dispone de permisos personalizados específicos (por ejemplo, permisos para crear una cola en Amazon SQS). Puede usar una contraseña y un nombre de usuario de IAM para iniciar sesión en páginas web de AWS seguras, como AWS Management Console, Foros de debate de AWS o el Centro de AWS Support.

    Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para cada usuario. Puede utilizar estas claves cuando acceda a los Servicios de AWS mediante programación, ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y las herramientas de CLI utilizan claves de acceso para firmar criptográficamente una solicitud. Si no utiliza las herramientas de AWS debe firmar usted mismo la solicitud. Amazon SQS admiteSignature Version 4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información sobre cómo autenticar solicitudes, consulte Proceso de firma de Signature Version 4 en la Referencia general de AWS.

  • IAM role (Rol de IAM): un rol de IAM es una identidad de IAM que puede crear en la cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM en que se trata de una identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

    • Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede utilizar identidades existentes de AWS Directory Service, del directorio de usuarios de la compañía o de un proveedor de identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

    • Acceso a Servicio de AWS: un rol de servicio es un rol de IAM que un servicio asume para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de roles para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

    • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM que le permita administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia de EC2 y realizan solicitudes a la AWS CLI o a la API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de EC2. Para asignar un rol de AWS a una instancia de EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia adjuntado a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia de EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Amazon SQS dispone de su propio sistema de permisos basado en recursos que utiliza políticas escritas en el mismo lenguaje que se emplea paraAWS Identity and Access ManagementPolíticas de (IAM). Esto significa que puede obtener resultados similares con las políticas de Amazon SQS que con las políticas de IAM.

nota

Es importante entender que todas las Cuentas de AWS pueden delegar sus permisos a los usuarios de sus cuentas. El acceso entre cuentas permite compartir el acceso a los recursos de AWS sin necesidad de administrar usuarios adicionales. Para obtener información sobre el uso del acceso entre cuentas, consulte Habilitación del acceso entre cuentas en la Guía del usuario de IAM.

ConsulteLimitaciones de las políticas personalizadaspara obtener más información sobre los permisos de contenido cruzado y las claves de condición dentro de las políticas personalizadas de Amazon SQS.