Ejemplos de políticas basadas en identidad para Amazon RDS
De forma predeterminada, los conjuntos de permisos y roles no tienen permiso para crear ni modificar recursos de Amazon RDS. Tampoco pueden realizar tareas mediante la AWS Management Console, la AWS CLI o la API de AWS. Un administrador debe crear políticas de IAM que concedan conjuntos de permisos y permisos de roles para realizar operaciones de API concretas en los recursos especificados necesarios. El administrador debe asociar esas políticas a los conjuntos de permisos o roles que necesiten esos permisos.
Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas de JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en la Guía del usuario de IAM.
Temas
- Prácticas recomendadas relativas a políticas
- Mediante la consola de Amazon RDS
- Cómo permitir a los usuarios consultar sus propios permisos
- Permitir a un usuario crear en instancias de base de datos en una cuenta de AWS
- Permisos necesarios para usar la consola
- Permitir que un usuario realice cualquier acción Describe con cualquier recurso de RDS
- Permitirle al usuario crear una instancia de base de datos que use los grupos de parámetros de base de datos y de subredes especificados
- Conceda permiso para acciones en un recurso con una etiqueta específica con dos valores diferentes.
- Evitar que un usuario elimine una instancia de base de datos
- Denegar todo el acceso a un recurso
- Políticas de ejemplo: uso de claves de condición
- Especificación de condiciones: uso de etiquetas personalizadas
Prácticas recomendadas relativas a políticas
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon RDS de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas administradas de AWS y continúe con los permisos de privilegio mínimo: a fin de comenzar a conceder permisos a los usuarios y las cargas de trabajo, utilice las políticas administradas de AWS, que conceden permisos para muchos casos de uso comunes. Están disponibles en su Cuenta de AWS. Se recomienda definir políticas administradas por el cliente de AWS específicas para los casos de uso a fin de reducir aún más los permisos. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de trabajo en la Guía del usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utilice condiciones en las políticas de IAM para restringir aún más el acceso: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede usar condiciones para conceder acceso a acciones de servicios si se emplean a través de un Servicio de AWS determinado, como por ejemplo AWS CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
-
Utilice el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Política de validación de Analizador de acceso de IAM en la Guía de usuario de IAM.
-
Solicite la autenticación multifactor (MFA): si se encuentra en una situación en la que necesita usuarios raíz o de IAM en su Cuenta de AWS, active la MFA para mayor seguridad. Para solicitar la MFA cuando se invocan las operaciones de la API, agregue las condiciones de la MFA a sus políticas. Para más información, consulte Configuración del acceso a una API protegido por MFA en la Guía de usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte las Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Mediante la consola de Amazon RDS
Para acceder a la consola de Amazon RDS, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y consultar los detalles sobre los recursos de Amazon RDS en su cuenta de Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
Para asegurarse de que esas entidades puedan seguir usando la consola de Amazon RDS, asocie también la siguiente política administrada por AWS a las entidades.
AmazonRDSReadOnlyAccess
Para más información, consulte Adición de permisos a un usuario en la Guía del usuario de IAM:
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para realizar esta acción en la consola o mediante programación con la AWS CLI o la API de AWS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Permitir a un usuario crear en instancias de base de datos en una cuenta de AWS
A continuación se muestra un ejemplo de una política que permite al usuario con el ID 123456789012 crear instancias de base de datos para una cuenta de AWS. La política requiere que el nombre de la nueva instancia de base de datos comience por test. La nueva instancia de base de datos también debe utilizar el motor de base de datos MySQL y la clase de instancia de base de datos db.t2.micro. Además, la nueva instancia de base de datos debe usar un grupo de opciones y un grupo de parámetros de base de datos que comience por default y debe utilizar el grupo de subred default.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDBInstanceOnly", "Effect": "Allow", "Action": [ "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:123456789012:db:test*", "arn:aws:rds:*:123456789012:og:default*", "arn:aws:rds:*:123456789012:pg:default*", "arn:aws:rds:*:123456789012:subgrp:default" ], "Condition": { "StringEquals": { "rds:DatabaseEngine": "mysql", "rds:DatabaseClass": "db.t2.micro" } } } ] }
En la política se incluye una sola instrucción que especifica los siguientes permisos para el usuario de :
La política permite al usuario crear una instancia de base de datos utilizando la operación CreateDBInstance de la API (esto también se aplica al comando create-db-instance de la AWS CLI y a la AWS Management Console).
El elemento
Resourceespecifica que el usuario puede realizar acciones en o con recursos. Puede especificar los recursos mediante un nombre de recurso de Amazon (ARN). Este ARN incluye el nombre del servicio al que pertenece el recurso (rds), la región AWS (*indica cualquier región de este ejemplo), el número de cuenta de AWS (123456789012es el número de cuenta en este ejemplo) y el tipo de recurso. Para obtener más información acerca de la creación de nombres ARN, consulte Uso de nombres de recursos de Amazon (ARN) en Amazon RDS.El elemento
Resourcedel ejemplo especifica las siguientes restricciones políticas en los recursos del usuario:El identificador de instancias de bases de datos para la nueva instancia de base de datos debe comenzar por
test(por ejemplo,testCustomerData1,test-region2-data).El grupo de opciones de la nueva instancia de base de datos debe empezar por
default.El grupo de parámetros de base de datos de la nueva instancia de base de datos debe empezar por
default.El grupo de subred de la nueva instancia de base de datos debe ser el grupo de subred
default.
El elemento
Conditionespecifica que el motor de base de datos debe ser MySQL, mientras que la clase de instancia de base de datos debe serdb.t2.micro. El elementoConditionespecifica las condiciones en las que se debe aplicar una política. Puede añadir permisos o restricciones adicionales mediante el elementoCondition. Para obtener más información acerca de cómo especificar condiciones, consulte Claves de condición de políticas para Amazon RDS. Este ejemplo especifica el estado delrds:DatabaseEnginey lards:DatabaseClass. Para obtener más información acerca de los valores de estado válidos parards:DatabaseEngine, consulte la lista bajo el parámetroEngineen CreateDBInstance. Para obtener información acerca de los valores de estado válidos parards:DatabaseClass, consulte Motores de base de datos compatibles para clases de instancia de base de datos.
La política no especifica el elemento Principal, ya que en una política basada en la identidad no se especifica el elemento principal que obtiene el permiso. Al asociar una política a un usuario, el usuario es la entidad principal implícita. Cuando se asocia una política de permisos a un rol de IAM, la entidad principal identificada en la política de confianza del rol obtiene los permisos.
Para ver una lista de las acciones de Amazon RDS, consulte Acciones definidas por Amazon RDS en la referencia de autorizaciones de servicio.
Permisos necesarios para usar la consola
Para que un usuario pueda trabajar con la consola, debe tener un conjunto mínimo de permisos. Estos permisos permiten al usuario describir los recursos de Amazon RDS de su cuenta de AWS y proporcionar otra información relacionada, incluida información de red y seguridad de Amazon EC2.
Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funciona del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola, asocie también la política administrada AmazonRDSReadOnlyAccess al usuario, según se explica en Administración de acceso mediante políticas.
No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a la AWS CLI o a la API de Amazon RDS.
La siguiente política concede acceso completo a todos los recursos de Amazon RDS para la cuenta de AWS raíz:
AmazonRDSFullAccess
Permitir que un usuario realice cualquier acción Describe con cualquier recurso de RDS
La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones que empiezan por Describe. Estas acciones muestran información acerca de un recurso de RDS, como una instancia de base de datos. El carácter de comodín (*) en el elemento Resource indica que las acciones están permitidas para todos los recursos de Amazon RDS que pertenecen a la cuenta.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRDSDescribe", "Effect": "Allow", "Action": "rds:Describe*", "Resource": "*" } ] }
Permitirle al usuario crear una instancia de base de datos que use los grupos de parámetros de base de datos y de subredes especificados
La política de permisos siguiente otorga permisos para permitir que el usuario solo pueda crear una instancia de base de datos que use el grupo de parámetros de base de datos mydbpg y el grupo de subredes de base de datos mydbsubnetgroup.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": [ "arn:aws:rds:*:*:pg:mydbpg", "arn:aws:rds:*:*:subgrp:mydbsubnetgroup" ] } ] }
Conceda permiso para acciones en un recurso con una etiqueta específica con dos valores diferentes.
Puede utilizar las condiciones de su política basada en la identidad para controlar el acceso a los recursos de Amazon RDS basados en etiquetas. La siguiente política da permiso para aplicar la operación de API CreateDBSnapshot en instancias de base de datos con la etiqueta stage establecida en development o test.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowAnySnapshotName", "Effect":"Allow", "Action":[ "rds:CreateDBSnapshot" ], "Resource":"arn:aws:rds:*:123456789012:snapshot:*" }, { "Sid":"AllowDevTestToCreateSnapshot", "Effect":"Allow", "Action":[ "rds:CreateDBSnapshot" ], "Resource":"arn:aws:rds:*:123456789012:db:*", "Condition":{ "StringEquals":{ "rds:db-tag/stage":[ "development", "test" ] } } } ] }
La siguiente política da permiso para aplicar la operación de API ModifyDBInstance en instancias de base de datos con la etiqueta stage establecida en development o test.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowChangingParameterOptionSecurityGroups", "Effect":"Allow", "Action":[ "rds:ModifyDBInstance" ], "Resource": [ "arn:aws:rds:*:123456789012:pg:*", "arn:aws:rds:*:123456789012:secgrp:*", "arn:aws:rds:*:123456789012:og:*" ] }, { "Sid":"AllowDevTestToModifyInstance", "Effect":"Allow", "Action":[ "rds:ModifyDBInstance" ], "Resource":"arn:aws:rds:*:123456789012:db:*", "Condition":{ "StringEquals":{ "rds:db-tag/stage":[ "development", "test" ] } } } ] }
Evitar que un usuario elimine una instancia de base de datos
La siguiente política de permisos concede permisos para impedir que un usuario elimine una instancia de base de datos específica. Por ejemplo, puede servir para impedir la eliminación de instancias de base de datos de producción a cualquier usuario que no sea un administrador.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyDelete1", "Effect": "Deny", "Action": "rds:DeleteDBInstance", "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-mysql-instance" } ] }
Denegar todo el acceso a un recurso
Puede denegar explícitamente el acceso a un recurso. Las políticas de denegación tienen prioridad sobre las políticas de permiso. La política siguiente niega explícitamente a un usuario la capacidad de administrar un recurso:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "rds:*", "Resource": "arn:aws:rds:us-east-1:123456789012:db:mydb" } ] }
Políticas de ejemplo: uso de claves de condición
Los siguientes ejemplos muestran cómo puede usar claves de condición en las políticas de permisos de IAM para Amazon RDS.
Ejemplo 1: conceder permiso para crear una instancia de base de datos que utilice un motor de base de datos específico y no sea Multi-AZ.
La siguiente política utiliza una clave de condición de RDS y permite al usuario crear solamente instancias de base de datos que utilizan el motor de base de datos MySQL y no utilizan Multi-AZ. El elemento Condition indica el requisito de que el motor de base de datos sea MySQL.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowMySQLCreate", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": "*", "Condition": { "StringEquals": { "rds:DatabaseEngine": "mysql" }, "Bool": { "rds:MultiAz": false } } } ] }
Ejemplo 2: denegar permiso explícitamente para crear instancias de base de datos para determinadas clases de instancia de base de datos y crear instancias de base de datos que utilizan IOPS provisionadas
La siguiente política deniega permiso explícitamente para crear instancias de base de datos que utilizan las clases de instancia de base de datos r3.8xlarge y m4.10xlarge, que son las clases de instancia de base de datos más costosas y de mayor tamaño. Esta política también evita que los usuarios creen instancias de base de datos que utilizan IOPS provisionadas, las cuales tienen un costo adicional.
Al denegarse permiso explícitamente se sustituye a cualquier otro permiso concedido. Esto garantiza que las identidades no obtengan accidentalmente permisos que el usuario no desee conceder nunca.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyLargeCreate", "Effect": "Deny", "Action": "rds:CreateDBInstance", "Resource": "*", "Condition": { "StringEquals": { "rds:DatabaseClass": [ "db.r3.8xlarge", "db.m4.10xlarge" ] } } }, { "Sid": "DenyPIOPSCreate", "Effect": "Deny", "Action": "rds:CreateDBInstance", "Resource": "*", "Condition": { "NumericNotEquals": { "rds:Piops": "0" } } } ] }
Ejemplo 3: limitar el conjunto de claves y valores de etiquetas que se pueden usar para etiquetar un recurso
En la siguiente política se usa una clave condicional de RDS y permite añadir una etiqueta con la clave stage a un recurso con los valores test, qa y production.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource": "*", "Condition": { "streq": { "rds:req-tag/stage": [ "test", "qa", "production" ] } } } ] }
Especificación de condiciones: uso de etiquetas personalizadas
Amazon RDS admite la especificación de condiciones en una política de IAM que utiliza etiquetas personalizadas.
Por ejemplo, suponga que añade una etiqueta con el nombre environment a sus instancias de base de datos con valores como beta, staging, production, etc. Si lo hace, puede crear una política que restrinja a ciertos usuarios en instancias de bases de datos basándose en el valor de la etiqueta environment.
nota
Los identificadores de etiquetas personalizados distinguen entre mayúsculas y minúsculas.
En la tabla siguiente, se enumeran los identificadores de etiqueta de RDS que puede usar en un elemento Condition.
| Identificador de etiqueta de RDS | Se aplica a |
|---|---|
db-tag |
Instancias de base de datos, incluidas las réplicas de lectura |
snapshot-tag |
Instantáneas de base de datos |
ri-tag |
Instancias de base de datos reservadas |
og-tag |
Grupos de opciones de base de datos |
pg-tag |
Grupos de parámetros de base de datos |
subgrp-tag |
Grupos de subred de base de datos |
es-tag |
Suscripciones de eventos |
cluster-tag |
Clústeres de base de datos |
cluster-pg-tag |
Grupos de parámetros de clúster de bases de datos |
cluster-snapshot-tag |
Instantáneas de clúster de bases de datos |
La sintaxis de una condición de etiqueta personalizada es la siguiente:
"Condition":{"StringEquals":{"rds:
rds-tag-identifier/tag-name":
["value"]} }
Por ejemplo, el elemento Condition siguiente se aplica a instancias de base de datos con una etiqueta llamada environment y un valor de etiqueta production.
"Condition":{"StringEquals":{"rds:db-tag/
environment": ["production"]} }
Para obtener información acerca de la creación etiquetas, consulte Etiquetado de recursos de Amazon RDS.
importante
Si administra el acceso a sus recursos de RDS mediante el etiquetado, recomendamos que proteja el acceso a las etiquetas. Puede administrar el acceso a etiquetas creando políticas para las acciones AddTagsToResource y RemoveTagsFromResource. Por ejemplo, la política siguiente deniega a los usuarios la posibilidad de agregar o quitar etiquetas para todos los recursos. A continuación, puede crear políticas para permitir que usuarios específicos agreguen o quiten etiquetas.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyTagUpdates", "Effect":"Deny", "Action":[ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"*" } ] }
Para ver una lista de las acciones de Amazon RDS, consulte Acciones definidas por Amazon RDS en la referencia de autorizaciones de servicio.
Políticas de ejemplo: uso de etiquetas personalizadas
Los siguientes ejemplos muestran cómo puede usar etiquetas personalizadas en las políticas de permisos de IAM para Amazon RDS. Para obtener más información sobre cómo agregar etiquetas a un recurso de Amazon RDS, consulte Uso de nombres de recursos de Amazon (ARN) en Amazon RDS.
nota
Todos los ejemplos utilizan la región us-west-2 y contienen identificadores de cuenta ficticios.
Ejemplo 1: conceda permiso para acciones en un recurso con una etiqueta específica con dos valores diferentes.
La siguiente política da permiso para aplicar la operación de API CreateDBSnapshot en instancias de base de datos con la etiqueta stage establecida en development o test.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowAnySnapshotName", "Effect":"Allow", "Action":[ "rds:CreateDBSnapshot" ], "Resource":"arn:aws:rds:*:123456789012:snapshot:*" }, { "Sid":"AllowDevTestToCreateSnapshot", "Effect":"Allow", "Action":[ "rds:CreateDBSnapshot" ], "Resource":"arn:aws:rds:*:123456789012:db:*", "Condition":{ "StringEquals":{ "rds:db-tag/stage":[ "development", "test" ] } } } ] }
La siguiente política da permiso para aplicar la operación de API ModifyDBInstance en instancias de base de datos con la etiqueta stage establecida en development o test.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowChangingParameterOptionSecurityGroups", "Effect":"Allow", "Action":[ "rds:ModifyDBInstance" ], "Resource":" [ "arn:aws:rds:*:123456789012:pg:*", "arn:aws:rds:*:123456789012:secgrp:*", "arn:aws:rds:*:123456789012:og:*" ] }, { "Sid":"AllowDevTestToModifyInstance", "Effect":"Allow", "Action":[ "rds:ModifyDBInstance" ], "Resource":"arn:aws:rds:*:123456789012:db:*", "Condition":{ "StringEquals":{ "rds:db-tag/stage":[ "development", "test" ] } } } ] }
Ejemplo 2: deniegue explícitamente permiso para crear una instancia de base de datos que utilice grupos de parámetros de base de datos especificados.
La siguiente política deniega explícitamente permiso para crear una instancia de base de datos que utilice grupos de parámetros de base de datos con valores de etiqueta específicos. Podría aplicar esta política si necesita que se utilice siempre un grupo de parámetros de base de datos específico, creado por el cliente, al crear instancias de base de datos. Las políticas que utilizan Deny suelen aplicarse para restringir el acceso concedido por una política más amplia.
Al denegarse permiso explícitamente se sustituye a cualquier otro permiso concedido. Esto garantiza que las identidades no obtengan accidentalmente permisos que el usuario no desee conceder nunca.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyProductionCreate", "Effect":"Deny", "Action":"rds:CreateDBInstance", "Resource":"arn:aws:rds:*:123456789012:pg:*", "Condition":{ "StringEquals":{ "rds:pg-tag/usage":"prod" } } } ] }
Ejemplo 3: conceda permiso para acciones en una instancia de base de datos con un nombre de instancia cuyo prefijo sea un nombre de usuario.
La siguiente política da permiso para llamar a cualquier API (salvo AddTagsToResource o RemoveTagsFromResource) en una instancia de base de datos cuyo prefijo sea un nombre de usuario y que tenga una etiqueta llamada stage igual a devo o que no tenga ninguna etiqueta llamada stage.
La línea Resource en la política identifica un recurso por su nombre de recurso de Amazon (ARN). Para obtener más información sobre el uso de ARN con recursos de Amazon RDS, consulte Uso de nombres de recursos de Amazon (ARN) en Amazon RDS.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowFullDevAccessNoTags", "Effect":"Allow", "NotAction":[ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"arn:aws:rds:*:123456789012:db:${aws:username}*", "Condition":{ "StringEqualsIfExists":{ "rds:db-tag/stage":"devo" } } } ] }
