Elegir entre políticas administradas y políticas insertadas - AWS Identity and Access Management

Elegir entre políticas administradas y políticas insertadas

Tenga en cuenta sus casos de uso al decidir entre políticas insertadas o políticas administradas. En la mayoría de los casos, le recomendamos que utilice políticas administradas en lugar de políticas insertadas.

nota

Puede usar políticas administradas e insertadas juntas para definir permisos comunes y únicos para una entidad principal.

Las políticas administradas proporcionan las siguientes características:

Poder reutilizarlas

Una única política administrada puede asociarse a varias entidades principales (usuarios, grupos y roles). Puede crear una biblioteca de políticas que definan los permisos útiles para su cuenta de Cuenta de AWS y, a continuación, asociar dichas políticas a las entidades principales según sea necesario.

Administración centralizada de los cambios

Al cambiar una política administrada, el cambio se aplica a todas las entidades principales a las que la política está asociada. Por ejemplo, si desea añadir un permiso para una nueva API de AWS, puede actualizar la política administrada por el cliente o asociar una política administrada de AWS para añadir el permiso. Si utiliza una política administrada por AWS, AWS actualiza la política. Al actualizar una política administrada, los cambios se aplican a todas las entidades principales a las que la política está asociada. En cambio, para cambiar una política insertada, se debe editar individualmente cada identidad insertada que incluya la política. Por ejemplo, si un grupo y un rol incluyen la misma política insertada, debe editar individualmente ambas entidades principales para poder cambiar dicha política.

Control de versiones y restauración

Al cambiar una política administrada por el cliente, la política cambiada no sobrescribe la política existente. En cambio, IAM crea una nueva versión de la política administrada. IAM almacena hasta cinco versiones de las políticas administradas por el cliente. Puede utilizar las versiones de políticas para revertir una política a una versión anterior en caso de que sea necesario.

nota

Una versión de política es diferente de un elemento de política Version. El elemento de política Version se utiliza en una política y define la versión del lenguaje de la política. Para obtener más información sobre las versiones de política, consulte Control de versiones de políticas de IAM. Para obtener más información sobre el elemento de política Version, consulte Elementos de política JSON de IAM: Version.

Delegar la administración de permisos

Puede permitir a los usuarios de su cuenta de Cuenta de AWS asociar y desasociar políticas a la vez que mantiene el control de los permisos definidos en dichas políticas. Para ello, designe algunos usuarios como administradores completos, es decir, administradores que pueden crear, actualizar y eliminar políticas. A continuación, puede designar otros usuarios como administradores limitados. Esos administradores limitados pueden asociar políticas a otras entidades principales, pero solo las políticas que les ha permitido asociar.

Para obtener más información acerca de cómo delegar la administración de permisos, consulte Control del acceso a políticas.

Límites de caracteres de política más amplios

El límite máximo de tamaño de caracteres para las políticas administradas es superior al límite de caracteres para las políticas en línea. Si alcanza el límite de tamaño de caracteres de la política integrada, puede crear más grupos de IAM y adjuntar la política administrada al grupo.

Para obtener más información sobre las cuotas y los límites, consulte IAM y cuotas de AWS STS.

Actualizaciones automáticas para las políticas administradas por AWS

AWS mantiene políticas administradas por AWS y las actualiza según sea necesario, por ejemplo, para agregar permisos para nuevos servicios de AWS, sin que usted tenga que realizar cambios. Las actualizaciones se aplican automáticamente a las entidades principales a las que haya asociado la política administrada por AWS.

Uso de políticas insertadas

Las políticas insertadas son útiles si desea mantener una relación estricta de uno a uno entre una política y la identidad a la cual se aplica. Por ejemplo, si desea asegurarse de que los permisos en una política no se asignen por error a una identidad que no sea la prevista. Al utilizar una política insertada, los permisos de la política no se pueden asociar por error a la identidad incorrecta. Además, si utiliza la AWS Management Console para eliminar dicha identidad, las políticas insertadas en la identidad también se eliminan, ya que son parte de la entidad principal.