Elegir entre políticas administradas y políticas insertadas - AWS Identity and Access Management

Elegir entre políticas administradas y políticas insertadas

Tenga en cuenta sus casos de uso al decidir entre políticas insertadas o políticas administradas. En la mayoría de los casos, le recomendamos que utilice políticas administradas en lugar de políticas insertadas.

nota

Puede usar políticas administradas e insertadas juntas para definir permisos comunes y únicos para una entidad principal.

Las políticas administradas proporcionan las siguientes características:

Poder reutilizarlas

Una única política administrada puede asociarse a varias entidades principales (usuarios, grupos y roles). Puede crear una biblioteca de políticas que definan los permisos útiles para su cuenta de Cuenta de AWS y, a continuación, asociar dichas políticas a las entidades principales según sea necesario.

Administración centralizada de los cambios

Al cambiar una política administrada, el cambio se aplica a todas las entidades principales a las que la política está asociada. Por ejemplo, si desea añadir un permiso para una nueva API de AWS, puede actualizar la política administrada por el cliente o asociar una política administrada de AWS para añadir el permiso. Si utiliza una política administrada por AWS, AWS actualiza la política. Al actualizar una política administrada, los cambios se aplican a todas las entidades principales a las que la política está asociada. En cambio, para cambiar una política insertada, se debe editar individualmente cada identidad insertada que incluya la política. Por ejemplo, si un grupo y un rol incluyen la misma política insertada, debe editar individualmente ambas entidades principales para poder cambiar dicha política.

Control de versiones y restauración

Al cambiar una política administrada por el cliente, la política cambiada no sobrescribe la política existente. En cambio, IAM crea una nueva versión de la política administrada. IAM almacena hasta cinco versiones de las políticas administradas por el cliente. Puede utilizar las versiones de políticas para revertir una política a una versión anterior en caso de que sea necesario.

nota

Una versión de política es diferente de un elemento de política Version. El elemento de política Version se utiliza en una política y define la versión del lenguaje de la política. Para obtener más información sobre las versiones de política, consulte Control de versiones de políticas de IAM. Para obtener más información sobre el elemento de política Version, consulte Elementos de política JSON de IAM: Version.

Delegar la administración de permisos

Puede permitir a los usuarios de su cuenta de Cuenta de AWS asociar y desasociar políticas a la vez que mantiene el control de los permisos definidos en dichas políticas. Para ello, designe algunos usuarios como administradores completos, es decir, administradores que pueden crear, actualizar y eliminar políticas. A continuación, puede designar otros usuarios como administradores limitados. Esos administradores limitados pueden asociar políticas a otras entidades principales, pero solo las políticas que les ha permitido asociar.

Para obtener más información acerca de cómo delegar la administración de permisos, consulte Control del acceso a políticas.

Límites de caracteres de política más amplios

El límite máximo de tamaño de caracteres para las políticas administradas es superior al límite de caracteres para las políticas en línea. Si alcanza el límite de tamaño de caracteres de la política integrada, puede crear más grupos de IAM y adjuntar la política administrada al grupo.

Para obtener más información sobre las cuotas y los límites, consulte IAM y cuotas de AWS STS.

Actualizaciones automáticas para las políticas administradas por AWS

AWS mantiene políticas administradas por AWS y las actualiza según sea necesario, por ejemplo, para agregar permisos para nuevos servicios de AWS, sin que usted tenga que realizar cambios. Las actualizaciones se aplican automáticamente a las entidades principales a las que haya asociado la política administrada por AWS.

Comience a utilizar políticas administradas

Recomendamos utilizar políticas que otorguen el menor privilegio, o que concedan solo los permisos necesarios para realizar una tarea. La forma más segura de conceder un privilegio mínimo es redactar una política administrada por el cliente que conceda únicamente los permisos que necesite el equipo. Debe crear un proceso para permitir que su equipo solicite más permisos cuando sea necesario. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios.

Para comenzar a agregar permisos a las identidades de IAM (usuarios, grupos de usuarios y roles), puede utilizar Políticas administradas de AWS. Las políticas administradas de AWS no conceden permisos de privilegios mínimos. Considere el riesgo de seguridad de conceder a sus entidades principales más permisos de los que necesitan para realizar su trabajo.

Puede adjuntar políticas administradas de AWS, incluidas las funciones de trabajo, a cualquier identidad de IAM. Para obtener más información, consulte Adición y eliminación de permisos de identidad de IAM.

Para cambiar a permisos de privilegios mínimos, puede ejecutar AWS Identity and Access Management Access Analyzer para supervisar las entidades principales con las políticas administradas de AWS. Después de saber qué permisos están utilizando, puede escribir o generar una política administrada por el cliente con solo los permisos necesarios para su equipo. Esto es menos seguro, pero proporciona más flexibilidad a medida que aprende cómo usa su equipo AWS. Para obtener más información, consulte Generación de políticas del Analizador de acceso de IAM.

Las políticas administradas por AWS se han concebido para ofrecer permisos para muchos casos de uso comunes. Para obtener más información acerca de las políticas administradas AWS que están diseñadas para funciones de trabajo específicas, consulte Managed Policies de AWS para funciones de trabajo.

Para obtener una lista de políticas administradas por AWS, consulte la Guía de referencia de políticas administradas por AWS.

Uso de políticas insertadas

Las políticas insertadas son útiles si desea mantener una relación estricta de uno a uno entre una política y la identidad a la cual se aplica. Por ejemplo, si desea asegurarse de que los permisos en una política no se asignen por error a una identidad que no sea la prevista. Al utilizar una política insertada, los permisos de la política no se pueden asociar por error a la identidad incorrecta. Además, si utiliza la AWS Management Console para eliminar dicha identidad, las políticas insertadas en la identidad también se eliminan, ya que son parte de la entidad principal.