Recursos de AWS para administración de acceso
AWS Identity and Access Management (IAM) es un servicio web que lo ayuda a controlar de forma segura el acceso a los recursos de AWS. Cuando una entidad principal realiza una solicitud en AWS, el código de aplicación de AWS comprueba si la entidad principal está autenticada (ha iniciado sesión) y autorizada (tiene permisos). Para administrar el acceso en AWS cree políticas y asócielas a identidades de IAM o recursos de AWS. Las políticas son documentos JSON de AWS que, cuando se asocian a una identidad o un recurso, definen sus permisos. Para obtener más información sobre los tipos de políticas y sus usos, consulte Políticas y permisos en AWS Identity and Access Management.
Para obtener más información sobre el resto del proceso de autenticación y autorización, consulte Cómo funciona IAM.
Durante la autorización, el código de aplicación de AWS utiliza los valores del contexto de la solicitud para buscar políticas coincidentes y determinar si se debe permitir o denegar la solicitud.
AWS comprueba cada política que se aplica al contexto de la solicitud. Si una sola política deniega la solicitud, AWS deniega toda la solicitud y deja de evaluar las políticas. Esto se denomina una denegación explícita. Dado que las solicitudes se deniegan de forma predeterminada, IAM autoriza una solicitud únicamente si las políticas aplicables permiten todas las partes de la solicitud. La lógica de evaluación de una solicitud para una cuenta individual se rige por las siguientes normas:
-
De forma predeterminada, todas las solicitudes se deniegan implícitamente. (Como alternativa, de forma predeterminada, Usuario raíz de la cuenta de AWS tiene acceso completo).
-
Un permiso explícito en una política basada en identidad o en recursos anula esta opción predeterminada.
-
Si existe un límite de permisos, una SCP de Organizations o una política de sesión, es posible que anule el permiso con una denegación implícita.
-
Una denegación explícita en cualquier política invalida cualquier permiso concedido.
Una vez que la solicitud se ha autenticado y se ha autorizado, AWS aprueba la solicitud. Si necesita realizar una solicitud en otra cuenta, una política de la otra cuenta debe permitirle el acceso al recurso. Además, la entidad de IAM que utilice para realizar la solicitud debe tener una política basada en identidad que permita la solicitud.
Recursos de administración de acceso
Para obtener más información acerca de los permisos y la creación de políticas, consulte los recursos siguientes:
Las siguientes entradas en el blog de seguridad de AWS tratan las formas habituales de escribir políticas para obtener acceso a buckets y objetos de Amazon S3.