Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas - AWS Identity and Access Management

Control de acceso a usuarios y roles de IAM y para ellos mediante etiquetas

Utilice la información de la siguiente sección para controlar quién puede obtener acceso a los usuarios y roles de IAM y a qué recursos pueden acceder. Para obtener información general y ejemplos sobre el control de acceso a otros recursos de AWS, incluidos otros recursos de IAM, consulte Control de acceso a los recursos de AWS mediante etiquetas.

Las etiquetas se pueden asociar al recurso de IAM, pasar en la solicitud o asociar a la entidad principal que realiza la solicitud. Un usuario o rol de IAM puede ser tanto un recurso como una entidad principal. Por ejemplo, puede escribir una política que permita a un usuario enumerar los grupos de un usuario. Esta operación solo se permite si el usuario que realiza la solicitud (entidad principal) tiene la misma etiqueta project=blue que el usuario que está intentando ver. En este ejemplo, el usuario puede ver la pertenencia a grupos de cualquier usuario, incluidos ellos mismos, siempre y cuando trabajen en el mismo proyecto.

Para controlar el acceso según las etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política. Al crear una política de IAM, puede utilizar las etiquetas de IAM y la clave de condición de etiqueta asociada para controlar el acceso a cualquiera de las siguientes operaciones:

  • Recurso – Permite controlar el acceso a los recursos de usuario o rol en función de sus etiquetas. Para ello, utilice la clave de condición aws:ResourceTag/key-name para especificar qué par de clave-valor de etiqueta debe adjuntarse al recurso. Para obtener más información, consulte Control del acceso a los recursos de AWS.

  • Solicitud – Controla las etiquetas que se pueden pasar en una solicitud de IAM. Para ello, utilice la clave de condición aws:RequestTag/key-name para especificar qué etiquetas se pueden agregar, cambiar o eliminar de un usuario o rol de IAM. Esta clave se utiliza de la misma forma para los recursos de IAM y otros recursos de AWS. Para obtener más información, consulte Control del acceso durante solicitudes de AWS.

  • Entidad principal - Permite controlar qué puede hacer la persona que realiza la solicitud (entidad principal) en función de las etiquetas que se asocian al usuario o rol de IAM. Para ello, utilice la clave de condición aws:PrincipalTag/key-name para especificar qué etiquetas se deben asociar al usuario o rol de IAM antes de que se admita la solicitud.

  • Cualquier parte del proceso de autorización - Utilice la clave de condición aws:TagKeys para controlar si se pueden utilizar claves de etiqueta específicas en un recurso, en una solicitud, o por una entidad principal. En este caso, el valor de clave no importa. Esta clave se comporta de forma similar para los recursos de IAM y otros recursos de AWS. Sin embargo, al etiquetar a un usuario en IAM, esto también controla si la entidad principal puede realizar la solicitud a cualquier servicio. Para obtener más información, consulte Control del acceso en función de las claves de etiqueta.

Puede crear una política de IAM utilizando el editor visual, con JSON o importando una política administrada existente. Para obtener más información, consulte Crear políticas de IAM.

Control del acceso para entidades principales de IAM

Puede controlar lo que puede hacer la entidad principal en función de las etiquetas asociadas a la identidad de esa persona.

Este ejemplo muestra cómo podría crear una política de IAM que permita a cualquier usuario de esta cuenta ver la pertenencia a un grupo de cualquier usuario, incluido él mismo, siempre que estén trabajando en el mismo proyecto. Esta operación solo se permite cuando la etiqueta de recurso del usuario y la etiqueta de la entidad principal tienen el mismo valor para la clave de etiqueta project. Para utilizar esta política, sustituya el texto en cursiva de la política de ejemplo por su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "iam:ListGroupsForUser", "Resource": "arn:aws:iam::111222333444:user/*", "Condition": { "StringEquals": {"aws:ResourceTag/project": "${aws:PrincipalTag/project}"} } }] }

Control del acceso en función de las claves de etiqueta

Puede utilizar etiquetas en sus políticas de IAM para controlar si se pueden utilizar claves de etiqueta específicas en un recurso, en una solicitud o por una entidad principal.

En este ejemplo se muestra cómo puede crear una política de IAM que permita eliminar solo la etiqueta con la clave de temporary de los usuarios. Para utilizar esta política, sustituya el texto en cursiva de la política de ejemplo por su propia información. A continuación, siga las instrucciones en Crear una política o Editar una política.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "iam:UntagUser", "Resource": "*", "Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["temporary"]}} }] }