Creación de políticas de IAM (consola) - AWS Identity and Access Management

Creación de políticas de IAM (consola)

Una política es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede utilizar la AWS Management Console para crear políticas administradas por el cliente en IAM. Las políticas administradas por el cliente son políticas independientes que usted administra en su propia cuenta de AWS. A continuación, puede asociar las políticas a identidades (usuarios, grupos y roles) de su cuenta de AWS.

Creación de políticas de IAM

Puede crear una política administrada por el cliente en la AWS Management Console mediante uno de los métodos siguientes:

  • JSON: pegue y personalice una política basada en identidad de ejemplo publicada.

  • Editor visual: cree una nueva política desde cero en el editor visual. Si utiliza el editor visual, no tiene que conocer la sintaxis JSON.

  • Importar: importe y personalice una política administrada desde su cuenta. Puede importar una política administrada por AWS o una política administrada por el cliente que haya creado anteriormente.

El número y el tamaño de los recursos de IAM de una cuenta de AWS son limitados. Para obtener más información, consulte Cuotas de IAM y AWS STS.

Creación de políticas en la pestaña JSON

Puede escribir o pegar políticas en JSON eligiendo la pestaña JSON. Este método es útil para copiar una política de ejemplo para utilizarla en su cuenta. O bien, puede escribir su propio documento de política de JSON en el editor de JSON. También puede utilizar la pestaña JSON para conmutar entre el editor visual y JSON para comparar las vistas.

Cuando crea o edita una política en el editor de JSON, IAM realiza la validación de políticas para ayudarle a crear una política eficaz. IAM identifica los errores de sintaxis de JSON, mientras que IAM Access Analyzer proporciona comprobaciones de políticas adicionales con recomendaciones procesables que le ayudarán a perfeccionar aún más la política.

Un documento de política de JSON consta de una o más instrucciones. Cada instrucción debe contener todas las acciones que comparten el mismo efecto (Allow o Deny) y admitir los mismos recursos y condiciones. Si una acción requiere que especifique todos los recursos ("*") y otra acción admite el nombre de recurso de Amazon (ARN) de un recurso específico, deben estar en dos instrucciones JSON independientes. Para obtener más información sobre los formatos ARN, consulte Nombre de recurso de Amazon (ARN) en la Guía de AWS General Reference. Para obtener información general sobre las políticas de IAM, consulte Políticas y permisos en IAM. Para obtener información sobre el lenguaje de políticas de IAM, consulte Referencia de políticas JSON de IAM.

Para utilizar el editor de política de JSON para crear una política

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Policies (Políticas).

  3. Elija Create Policy (Crear política).

  4. Seleccione la pestaña JSON.

  5. Escriba o pegue un documento de política de JSON. Para obtener más información sobre el lenguaje de políticas de IAM, consulte Referencia de políticas JSON de IAM.

  6. Resuelva las advertencias de seguridad, errores o advertencias generales generadas durante la validación de políticas y, a continuación, elija Review policy (Revisar política).

    nota

    Puede alternar entre las pestañas Visual editor (Editor visual) y JSON en cualquier momento. Sin embargo, si realiza cambios o elige Next: Tags (Siguiente: etiquetas) en la pestaña Visual editor (Editor visual), IAM podría reestructurar la política para optimizarla para el editor visual. Para obtener más información al respecto, consulte Reestructuración de políticas.

  7. Cuando haya terminado, seleccione Next: Tags (Siguiente: etiquetas).

    (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM.

  8. En la página Review policy (Revisar política), escriba un Name (Nombre) y una Description (Descripción) (opcional) para la política que está creando. Revise la política Summary para ver los permisos concedidos por su política. A continuación, elija Create policy para guardar su trabajo.

Después de crear una política, puede asociarla a sus grupos, usuarios o roles. Para obtener más información al respecto, consulte Adición y eliminación de permisos de identidad de IAM.

Creación de políticas con el editor visual

El editor visual de la consola de IAM le guía a través de la creación de una política sin tener que escribir sintaxis JSON. Para ver un ejemplo de cómo usar el editor para crear una política, consulte Control del acceso a identidades.

Para utilizar el editor visual para crear una política

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Policies (Políticas).

  3. Elija Create Policy.

  4. En la pestaña Visual editor (Editor visual), seleccione Choose a service (Elegir un servicio) y, a continuación seleccione un servicio AWS. Puede utilizar el cuadro de búsqueda en la parte superior para limitar los resultados en la lista de servicios. Puede elegir solo un servicio dentro de un bloque de permisos de editor visual. Para conceder acceso a más de un servicio, añada varios bloques de permisos eligiendo Add additional permissions (Añadir permisos adicionales).

  5. En Acciones, elija las acciones que desea agregar a la directiva. Puede elegir acciones de una de las siguientes formas:

    • Active la casilla de verificación para todas las acciones.

    • Elija Agregar acciones para escribir el nombre de una acción específica. Puede utilizar comodines (*) para especificar varias acciones.

    • Seleccione uno de los grupos de niveles de acceso para elegir todas las acciones del nivel de acceso (por ejemplo, Leer, Escribir, o Lista).

    • Amplíe cada uno de los grupos Access level (Nivel de acceso) para elegir acciones individuales.

    De forma predeterminada, la política que está creando permite las acciones que usted elija. Para denegar las acciones elegidas, seleccione Switch to deny permissions (Cambiar a denegar permisos). Dado que IAM deniega de forma predeterminada, por motivos de seguridad recomendamos que permita solo aquellas acciones y recursos a los que un usuario necesita acceso. Debe crear una instrucción JSON para denegar permisos únicamente si desea invalidar un permiso que otra instrucción o política permite. Le recomendamos que limite al mínimo el número de operaciones de denegación de permisos, ya que pueden aumentar la dificultad de solucionar problemas con los permisos.

  6. Para Recursos, si el servicio y las acciones que seleccionó en los pasos anteriores no admiten la elección de recursos específicos, todos los recursos están permitidos y no puede editar esta sección.

    Si eligió una o más acciones que admiten permisos en el nivel de recursos, el editor visual enumera dichos recursos. A continuación, puede elegir Resources (Recursos) para especificar los recursos para su política.

    Puede especificar recursos de las siguientes maneras:

    • Elija Add ARN (Agregar ARN) para especificar recursos por su nombre de recurso de Amazon (ARN). Puede usar el editor ARN visual o enumerar ARN manualmente. Para obtener más información acerca de la sintaxis de ARN, consulte Amazon Resource Name (ARN) en laAWS General ReferenceGuía. Para obtener información sobre el uso de ARN en el elemento Resource de una política, consulte Elemento de la política de JSON de IAM:Resource.

    • Elija Cualquiera junto a un recurso para conceder permisos a cualquier recurso de ese tipo.

    • Elija All resources (Todos los recursos) para elegir todos los recursos para dicho servicio.

  7. De manera opcional, elija Specify request conditions (optional) (Especificar las condiciones de la solicitud [opcional]) para añadir condiciones a la política que está creando. Las condiciones limitan el efecto de una instrucción de política de JSON. Por ejemplo, puede especificar que a un usuario se le permite realizar las acciones en los recursos solo cuando la solicitud de dicho usuario se produce dentro de un intervalo de tiempo determinado. También puede utilizar condiciones de uso común para limitar si un usuario debe autenticarse con un dispositivo de autenticación multifactor (MFA). O bien puede exigir que la solicitud se origine dentro de un determinado rango de direcciones IP. Para obtener listas de todas las claves de contexto que puede utilizar en una condición de política, consulte Acciones, recursos y claves de condición de los servicios de AWS.

    Puede elegir las condiciones de una de las siguientes formas:

    • Utilice las casillas de verificación para seleccionar condiciones de uso común.

    • Elija Add condition (Añadir condición) para especificar otras condiciones. Elija los valores Condition Key (Clave de condición), Qualifier (Calificador) y Operator (Operador) de la condición y, a continuación, escriba un Value (Valor). Para añadir más de un valor, elija Add new value (Añadir nuevo valor). Puede considerar que los valores están conectados mediante un operador lógico "OR". Cuando haya terminado, elija Add (Añadir).

    Para añadir más de una condición, vuelva a elegir Add condition (Añadir condición). Repita este procedimiento según sea necesario. Cada condición se aplica únicamente a este bloque de permisos del editor visual. Todas las condiciones deben ser "true" para que el bloque de permisos se considere una coincidencia. En otras palabras, considere que las condiciones están conectadas mediante un operador lógico "AND".

    Para obtener más información sobre el elemento Condition (Condición), consulte Elemento de la política de JSON de IAM: Condition en la Referencia de políticas JSON de IAM.

  8. Para añadir más bloques de permisos, elija Add additional permissions (Añadir permisos adicionales). Para cada bloque, repita los pasos 2 a 5.

    nota

    Puede alternar entre las pestañas Visual editor (Editor visual) y JSON en cualquier momento. Sin embargo, si realiza cambios o elige Next: Tags (Siguiente: etiquetas) en la pestaña Visual editor (Editor visual), IAM podría reestructurar la política para optimizarla para el editor visual. Para obtener más información al respecto, consulte Reestructuración de políticas.

  9. Cuando haya terminado, seleccione Next: Tags (Siguiente: etiquetas).

    (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM.

  10. Cuando haya terminado, seleccione Next: Review.

  11. En la página Review policy (Revisar política), escriba un Name (Nombre) y una Description (Descripción) (opcional) para la política que está creando. Revise el resumen de política para asegurarse de que ha concedido los permisos deseados y, a continuación, elija Create policy (Crear política) para guardar su nueva política.

Después de crear una política, puede asociarla a sus grupos, usuarios o roles. Para obtener más información al respecto, consulte Adición y eliminación de permisos de identidad de IAM.

Importación de políticas administradas existentes

Una forma sencilla de crear una nueva política consiste en importar una política administrada existente en la cuenta que tenga al menos alguno de los permisos que necesita. A continuación, puede personalizarla para adaptarse a los nuevos requisitos.

No puede importar una política en línea. Para obtener más información acerca de la diferencia entre las políticas gestionadas y en línea, consulte Políticas administradas y políticas insertadas.

Para importar una política administrada existente en el editor visual

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Policies (Políticas).

  3. Elija Create Policy.

  4. Elija la pestaña Visual editor (Editor visual) y, a continuación, en la parte derecha de la página, seleccione Import managed policy (Importar política administrada).

  5. En la ventana Import managed policies (Importar políticas administradas), elija las políticas administradas que mejor coincidan con la política que desea incluir en su nueva política. Puede utilizar el menú Filter (Filtro) o escribir en el cuadro de búsqueda en la parte superior para limitar los resultados en la lista de políticas.

  6. Elija Import.

    Las políticas importadas se añaden en nuevos bloques de permisos en la parte inferior de su política.

  7. Utilice el Visual editor (Editor visual) o elija JSON para personalizar su política. A continuación, elija Review policy (Revisar política).

    nota

    Puede alternar entre las pestañas Visual editor (Editor visual) y JSON en cualquier momento. Sin embargo, si realiza cambios o elige Review policy (Revisar política) en la pestaña Visual editor (Editor visual), IAM podría reestructurar la política para optimizarla para el editor visual. Para obtener más información al respecto, consulte Reestructuración de políticas.

  8. En la página Review (Revisar), escriba un Name (Nombre) y una Description (Descripción) (opcional) para la política que está creando. No puede editar estos ajustes más tarde. Revise el Summary (Resumen) de la política y, a continuación, elija Create policy (Crear política) para guardar su trabajo.

Para importar una política administrada existente en la pestaña JSON

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Policies (Políticas).

  3. Elija Create Policy.

  4. Elija la pestaña JSON y, a continuación, en la parte derecha de la página, seleccione Import managed policy (Importar política administrada).

  5. En la ventana Import managed policies (Importar políticas administradas), elija las políticas administradas que mejor coincidan con la política que desea incluir en su nueva política. Puede utilizar el menú Filter (Filtro) o escribir en el cuadro de búsqueda en la parte superior para limitar los resultados en la lista de políticas.

  6. Elija Import.

    Las instrucciones de las políticas importadas se añaden a la parte inferior de su política de JSON.

  7. Personalice su política en JSON. Resuelva las advertencias de seguridad, errores o advertencias generales generadas durante la validación de políticas y, a continuación, elija Review policy (Revisar política). O bien, personalice su política en el Editor Visual (Editor visual). A continuación, elija Review policy (Revisar política).

    nota

    Puede alternar entre las pestañas Visual editor (Editor visual) y JSON en cualquier momento. Sin embargo, si realiza cambios o elige Review policy (Revisar política) en la pestaña Visual editor (Editor visual), IAM podría reestructurar la política para optimizarla para el editor visual. Para obtener más información al respecto, consulte Reestructuración de políticas.

  8. En la página Review policy (Revisar política), escriba un Name (Nombre) y una Description (Descripción) (opcional) para la política que está creando. No puede editarlos más tarde. Revise el Summary (Resumen) de la política y, a continuación, elija Create policy (Crear política) para guardar su trabajo.

Después de crear una política, puede asociarla a sus grupos, usuarios o roles. Para obtener más información al respecto, consulte Adición y eliminación de permisos de identidad de IAM.