Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas - AWS Identity and Access Management

Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas

Utilice la información de la siguiente sección para controlar quién puede obtener acceso a los usuarios y roles de IAM y a qué recursos pueden acceder. Para obtener información general y ejemplos sobre el control de acceso a otros recursos de AWS, incluidos otros recursos de IAM, consulte Etiquetas para recursos de AWS Identity and Access Management.

nota

Para obtener más información sobre la distinción entre mayúsculas y minúsculas en las claves de etiqueta y los valores de las claves de etiqueta, consulte Case sensitivity.

Las etiquetas se pueden asociar al recurso de IAM, pasar en la solicitud o asociar a la entidad principal que realiza la solicitud. Un usuario o rol de IAM puede ser tanto un recurso como una entidad principal. Por ejemplo, puede escribir una política que permita a un usuario enumerar los grupos de un usuario. Esta operación solo se permite si el usuario que realiza la solicitud (entidad principal) tiene la misma etiqueta project=blue que el usuario que está intentando ver. En este ejemplo, el usuario puede ver la pertenencia a grupos de cualquier usuario, incluidos ellos mismos, siempre y cuando trabajen en el mismo proyecto.

Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política. Al crear una política de IAM, puede utilizar las etiquetas de IAM y la clave de condición de etiqueta asociada para controlar el acceso a cualquiera de las siguientes operaciones:

  • Recurso – Permite controlar el acceso a los recursos de usuario o rol en función de sus etiquetas. Para ello, utilice la clave de condición aws:ResourceTag/key-name para especificar qué par de clave-valor de etiqueta debe adjuntarse al recurso. Para obtener más información, consulte Control del acceso a los recursos de AWS.

  • Solicitud – Controla las etiquetas que se pueden pasar en una solicitud de IAM. Para ello, utilice la clave de condición aws:RequestTag/key-name para especificar qué etiquetas se pueden agregar, cambiar o eliminar de un usuario o rol de IAM. Esta clave se utiliza de la misma forma para los recursos de IAM y otros recursos de AWS. Para obtener más información, consulte Control del acceso durante solicitudes de AWS.

  • Entidad principal - Permite controlar qué puede hacer la persona que realiza la solicitud (entidad principal) en función de las etiquetas que se asocian al usuario o rol de IAM. Para ello, utilice la clave de condición aws:PrincipalTag/key-name para especificar qué etiquetas se deben asociar al usuario o rol de IAM antes de que se admita la solicitud.

  • Cualquier parte del proceso de autorización: utilice la clave de condición aws:TagKeys para controlar si se pueden incluir claves de etiqueta específicas en una solicitud o por una entidad principal. En este caso, el valor de clave no importa. Esta clave funciona de manera similar para IAM y otros servicios de AWS. Sin embargo, al etiquetar a un usuario en IAM, esto también controla si la entidad principal puede realizar la solicitud a cualquier servicio. Para obtener más información, consulte Control del acceso en función de las claves de etiqueta.

Puede crear una política de IAM utilizando el editor visual, con JSON o importando una política administrada existente. Para obtener más información, consulte Definición de permisos de IAM personalizados con políticas administradas por el cliente.

nota

También puede pasar etiquetas de sesión al asumir un rol de IAM o federar un usuario. Son válidas solo para la duración de la sesión.

Control del acceso para entidades principales de IAM

Puede controlar lo que puede hacer la entidad principal en función de las etiquetas asociadas a la identidad de esa persona.

Este ejemplo muestra cómo podría crear una política basada en identidad que permita a cualquier usuario de esta cuenta ver la pertenencia al grupo de cualquier usuario, incluido él mismo, siempre que estén trabajando en el mismo proyecto. Esta operación solo se permite cuando la etiqueta del recurso del usuario y la etiqueta de la entidad principal tienen el mismo valor para la clave de la etiqueta project. Para utilizar esta política, sustituya el texto en cursiva del marcador de la política de ejemplo con su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "iam:ListGroupsForUser", "Resource": "arn:aws:iam::111222333444:user/*", "Condition": { "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"} } }] }

Control del acceso en función de las claves de etiqueta

Puede utilizar etiquetas en sus políticas de IAM para controlar si una solicitud o una entidad principal puede usar determinadas claves de etiqueta.

Este ejemplo muestra cómo podría crear una política basada en identidad que permita eliminar solo la etiqueta con la clave temporary de los usuarios. Para utilizar esta política, sustituya el texto en cursiva del marcador de la política de ejemplo por su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:UntagUser", "Resource": "*", "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}} }] }