Identity and Access Management para Amazon CloudWatch - Amazon CloudWatch

Identity and Access Management para Amazon CloudWatch

El acceso a Amazon CloudWatch requiere credenciales. Estas credenciales deben tener permisos para obtener acceso a los recursos de AWS, como la recuperación de datos de métricas de CloudWatch acerca de los recursos en la nube. En las siguientes secciones, se incluye información detallada sobre cómo puede utilizar AWS Identity and Access Management (IAM) y CloudWatch para proteger los recursos al controlar quién puede obtener acceso a ellos:

Autenticación

Puede obtener acceso a AWS con los siguientes tipos de identidades:

  • Usuario raíz de la cuenta de AWS: cuando se registra en AWS, proporciona una dirección de email y contraseña asociada a su cuenta de AWS. Estas son las credenciales de usuario de la cuenta de AWS y proporcionan acceso completo a todos los recursos de AWS.

    importante

    Por motivos de seguridad, se recomienda que utilice las credenciales de usuarios raíz de la cuenta de AWS solo para crear un administrador, que es un usuario de IAM con permiso total para administrar su cuenta. A continuación, puede utilizar este administrador para crear otros usuarios y roles de IAM con permisos limitados. Para obtener más información, consulte Prácticas recomendadas de IAM y Creación de un grupo y usuario administrador en la Guía del usuario de IAM.

  • Usuario de IAM: un usuario de IAM es una identidad dentro de su cuenta de AWS que tiene permisos personalizados específicos (por ejemplo, permisos para ver métricas en CloudWatch). Puede usar una contraseña y un nombre de usuario de IAM para iniciar sesión en páginas web de AWS seguras, como AWS Management Console, Foros de debate de AWS o el Centro de AWS Support.

     

    Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS de manera programática, ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y las herramientas de la AWS CLI usan claves de acceso para firmar criptográficamente la solicitud. Si no utiliza las herramientas de AWS, debe firmar usted mismo la solicitud. CloudWatch es compatible con Signature Version 4, un protocolo para autenticar solicitudes de la API entrantes. Para obtener más información acerca de cómo se autentican las solicitudes, consulte Proceso de firma de Signature Version 4 en la Referencia general de AWS.

     

  • Rol de IAM: un rol de IAM es otra identidad de IAM que puede crear en su cuenta que tiene permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una persona determinada. Un rol de IAM le permite obtener claves de acceso temporales que se pueden utilizar para tener acceso a los servicios y recursos de AWS. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

     

    • Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede usar identidades preexistentes de AWS Directory Service, el directorio de usuarios de la compañía o un proveedor de identidades web (IdP). A estas identidades se les llama usuarios federados. AWS asigna una función a un usuario federado cuando se solicita acceso a través de un IdP. Para obtener más información, consulte Usuarios federados y roles en la Guía del usuario de IAM.

       

    • Acceso para cuentas cruzadas: puede utilizar un rol de IAM en su cuenta para conceder permisos a otra cuenta de AWS para que acceda a los recursos de su cuenta. Para ver un ejemplo, consulte Tutorial: Delegación del acceso entre cuentas de AWS mediante roles de IAM en la Guía del usuario de IAM.

       

    • Acceso a servicios de AWS: puede utilizar un rol de IAM en su cuenta para concederle a un servicio de AWS los permisos necesarios para obtener acceso a los recursos de su cuenta. Por ejemplo, puede crear una función que permita a Amazon Redshift obtener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte Creación de un rol para delegarle permisos a un servicio de AWS en la Guía del usuario de IAM.

       

    • Aplicaciones que se ejecutan en Amazon EC2: en lugar de almacenar claves de acceso en la instancia EC2 para que las usen aplicaciones que se ejecutan en la instancia y que realizan solicitudes de la API, puede usar un rol de IAM para administrar credenciales temporales para estas aplicaciones. Para asignar una función de AWS a una instancia EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia asociado a dicha instancia. Un perfil de instancia contiene la función y permite a los programas que se encuentran en ejecución en la instancia EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de roles para aplicaciones en Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Aunque disponga de credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear recursos de CloudWatch ni obtener acceso a ellos. Por ejemplo, debe disponer de permisos para crear widgets de paneles de CloudWatch, ver métricas, etcétera.

En las siguientes secciones se describe cómo se administran los permisos para CloudWatch: Recomendamos que lea primero la información general.