Creación de políticas de IAM (consola) - AWS Identity and Access Management

Creación de políticas de IAM (consola)

Una política es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede utilizar la AWS Management Console para crear políticas administradas por el cliente en IAM. Las políticas administradas por el cliente son políticas independientes que usted administra en su propia cuenta de Cuenta de AWS. De este modo, puede asociar las políticas a identidades (usuarios, grupos y roles) de su cuenta de Cuenta de AWS.

El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS.

Crear políticas de IAM

Puede crear una política administrada por el cliente en la AWS Management Console mediante uno de los métodos siguientes:

  • JSON — Pegue y personalice una política basada en identidad de ejemplo publicada.

  • Editor visual - Cree una nueva política desde cero en el editor visual. Si utiliza el editor visual, no tiene que conocer la sintaxis JSON.

  • Importar - Importe y personalice una política administrada desde su cuenta. Puede importar una política administrada por AWS o una política administrada por el cliente que haya creado anteriormente.

El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS.

Creación de políticas mediante el editor JSON

Puede escribir o pegar políticas en JSON seleccionando la opción JSON. Este método es útil para copiar una política de ejemplo para utilizarla en su cuenta. O bien, puede escribir su propio documento de política de JSON en el editor de JSON. También puede utilizar la opción JSON para alternar entre el editor visual y JSON con el fin de comparar las vistas.

Cuando crea o edita una política en el editor JSON, IAM realiza la validación de políticas para ayudarle a crear una política eficaz. IAM identifica errores de sintaxis JSON, mientras que IAM Access Analyzer proporciona verificaciones de políticas adicionales con recomendaciones procesables para ayudarle a perfeccionar aún más la política.

Un documento de política de JSON consta de una o más instrucciones. Cada instrucción debe contener todas las acciones que comparten el mismo efecto (Allow o Deny) y admitir los mismos recursos y condiciones. Si una acción requiere que especifique todos los recursos ("*") y otra acción admite el nombre de recurso de Amazon (ARN) de un recurso específico, deben estar en dos instrucciones JSON independientes. Para obtener más información sobre los formatos ARN, consulte Nombre de recurso de Amazon (ARN) en la Guía de Referencia general de AWS. Para obtener información general sobre las políticas de IAM, consulte Políticas y permisos en AWS Identity and Access Management. Para obtener información sobre el lenguaje de políticas de IAM, consulte Referencia de políticas JSON de IAM.

Utilización del editor de política de JSON para la creación de una política
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Políticas.

  3. Seleccione Crear política.

  4. En la sección Editor de políticas, seleccione la opción JSON.

  5. Escriba o pegue un documento de política de JSON. Para obtener más información sobre el lenguaje de políticas de IAM, consulte Referencia de políticas JSON de IAM.

  6. Resuelva las advertencias de seguridad, errores o advertencias generales que se generen durante la validación de la política y luego elija Siguiente.

    nota

    Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas.

  7. (Opcional) Al crear o editar una política en la AWS Management Console, se puede generar una plantilla de política JSON o YAML que se puede utilizar en plantillas de AWS CloudFormation.

    Para ello, en el Editor de políticas, seleccione Acciones y, a continuación, Generar plantilla de CloudFormation. Para obtener más información sobre AWS CloudFormation, consulte la Referencia de tipos de recursos de AWS Identity and Access Management en la Guía del usuario de AWS CloudFormation.

  8. Cuando haya terminado de agregar permisos a la política, seleccione Siguiente.

  9. En la página Revisar y crear, escriba el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para ver los permisos que concede la política.

  10. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetas para recursos de AWS Identity and Access Management.

  11. Elija Crear política para guardar la nueva política.

Después de crear una política, puede asociarla a sus grupos, usuarios o roles. Para obtener más información, consulte Adición y eliminación de permisos de identidad de IAM.

Creación de políticas con el editor visual

El editor visual de la consola de IAM le guía a través de la creación de una política sin tener que escribir sintaxis JSON. Para ver un ejemplo de cómo utilizar el editor para crear una política, consulte Control del acceso a identidades.

Para utilizar el editor visual para crear una política
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Políticas.

  3. Seleccione Crear política.

  4. En la sección Editor de políticas, busque la sección Seleccionar un servicio y, a continuación, seleccione un servicio de AWS. Puede utilizar el cuadro de búsqueda en la parte superior para limitar los resultados en la lista de servicios. Puede elegir solo un servicio dentro de un bloque de permisos de editor visual. Para conceder acceso a más de un servicio, agregue varios bloques de permisos seleccionando Agregar más permisos.

  5. En Acciones permitidas, seleccione las acciones que desee agregar a la política. Puede elegir acciones de una de las siguientes formas:

    • Active la casilla de verificación para todas las acciones.

    • Elija Agregar acciones para escribir el nombre de una acción específica. Puede utilizar comodines (*) para especificar varias acciones.

    • Seleccione uno de los grupos de niveles de acceso para elegir todas las acciones del nivel de acceso (por ejemplo, Leer, Escribir, o Lista).

    • Amplíe cada uno de los grupos Access level (Nivel de acceso) para elegir acciones individuales.

    De forma predeterminada, la política que está creando permite las acciones que usted elija. Para denegar las acciones elegidas, seleccione Switch to deny permissions (Cambiar a denegar permisos). Dado que IAM deniega de forma predeterminada, por motivos de seguridad recomendamos que permita solo aquellas acciones y recursos a los que un usuario necesita acceso. Debe crear una instrucción JSON para denegar permisos únicamente si desea invalidar un permiso que otra instrucción o política permite. Le recomendamos que limite al mínimo el número de operaciones de denegación de permisos, ya que pueden aumentar la dificultad de solucionar problemas con los permisos.

  6. Para Recursos, si el servicio y las acciones que seleccionó en los pasos anteriores no admiten la elección de recursos específicos, todos los recursos están permitidos y no puede editar esta sección.

    Si eligió una o más acciones que admiten permisos en el nivel de recursos, el editor visual enumera dichos recursos. A continuación, puede elegir Resources (Recursos) para especificar los recursos para su política.

    Puede especificar recursos de las siguientes maneras:

    • Seleccione Agregar ARN para especificar recursos por su nombre de recurso de Amazon (ARN). Puede utilizar el editor ARN visual o enumerar ARN manualmente. Para obtener más información acerca de la sintaxis de ARN, consulte Amazon Resource Name (ARN) en laReferencia general de AWSGuía. Para obtener información sobre el uso de ARN en el elemento Resource de una política, consulte Elementos de política JSON de IAM: Resource.

    • Seleccione Cualquiera de esta cuenta junto a un recurso para conceder permisos a cualquier recurso de ese tipo.

    • Seleccione Todos para seleccionar todos los recursos para el servicio.

  7. (Opcional) Seleccione Solicitar condiciones: opcional para agregar condiciones a la política que está creando. Las condiciones limitan el efecto de una instrucción de política de JSON. Por ejemplo, puede especificar que a un usuario se le permite realizar las acciones en los recursos solo cuando la solicitud de dicho usuario se produce dentro de un intervalo de tiempo determinado. También puede utilizar condiciones de uso común para limitar si un usuario debe autenticarse con un dispositivo de autenticación multifactor (MFA). O bien puede exigir que la solicitud se origine dentro de un determinado rango de direcciones IP. Para obtener listas de todas las claves de contexto que puede utilizar en una condición de política, consulte Acciones, recursos y claves de condición para AWS en la Referencia de autorizaciones de servicio.

    Puede elegir las condiciones de una de las siguientes formas:

    • Utilice las casillas de verificación para seleccionar condiciones de uso común.

    • Seleccione Agregar otra condición para especificar otras condiciones. Elija los valores Condition Key (Clave de condición), Qualifier (Calificador) y Operator (Operador) de la condición y, a continuación, escriba un Value (Valor). Para agregar más de un valor, seleccione Agregar. Puede considerar que los valores están conectados mediante un operador lógico "OR". Cuando haya terminado, seleccione Agregar condición.

    Para agregar más de una condición, vuelva a seleccionar Agregar condición. Repita este procedimiento según sea necesario. Cada condición se aplica únicamente a este bloque de permisos del editor visual. Todas las condiciones deben ser "true" para que el bloque de permisos se considere una coincidencia. En otras palabras, considere que las condiciones están conectadas mediante un operador lógico "AND".

    Para obtener más información sobre el elemento Condition (Condición), consulte Elementos de política JSON de IAM: Condition en la Referencia de políticas JSON de IAM.

  8. Para agregar más bloques de permisos, seleccione Agregar más permisos. Para cada bloque, repita los pasos 2 a 5.

    nota

    Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas.

  9. (Opcional) Al crear o editar una política en la AWS Management Console, se puede generar una plantilla de política JSON o YAML que se puede utilizar en plantillas de AWS CloudFormation.

    Para ello, en el Editor de políticas, seleccione Acciones y, a continuación, Generar plantilla de CloudFormation. Para obtener más información sobre AWS CloudFormation, consulte la Referencia de tipos de recursos de AWS Identity and Access Management en la Guía del usuario de AWS CloudFormation.

  10. Cuando haya terminado de agregar permisos a la política, seleccione Siguiente.

  11. En la página Revisar y crear, escriba el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para asegurarse de que ha concedido los permisos deseados.

  12. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetas para recursos de AWS Identity and Access Management.

  13. Elija Crear política para guardar la nueva política.

Después de crear una política, puede asociarla a sus grupos, usuarios o roles. Para obtener más información, consulte Adición y eliminación de permisos de identidad de IAM.

Importación de políticas administradas existentes

Una forma sencilla de crear una nueva política consiste en importar una política administrada existente en la cuenta que tenga al menos alguno de los permisos que necesita. A continuación, puede personalizarla para adaptarse a los nuevos requisitos.

No puede importar una política insertada. Para obtener más información acerca de la diferencia entre las políticas gestionadas e insertadas, consulte Políticas administradas y políticas insertadas.

Para importar una política administrada existente en el editor visual
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Políticas.

  3. Seleccione Crear política.

  4. En el Editor de políticas, seleccione Visual; después, en la parte derecha de la página, seleccione Acciones, y luego Importar política.

  5. En la ventana Importar política, seleccione las políticas administradas que mejor coincidan con la política que desea incluir en su nueva política. Puede utilizar el cuadro de búsqueda de la parte superior para limitar los resultados en la lista de políticas.

  6. Seleccione Importar política.

    Las políticas importadas se añaden en nuevos bloques de permisos en la parte inferior de su política.

  7. Utilice el Visual editor (Editor visual) o elija JSON para personalizar su política. A continuación, elige Siguiente.

    nota

    Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas.

  8. En la página Revisar y crear, escriba el Nombre de la política y la Descripción (opcional) para la política que está creando. No puede editar estos ajustes más tarde. Revise los Permisos definidos en esta política y, a continuación, seleccione Crear política para guardar su trabajo.

Para importar una política administrada existente en el editor JSON
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la izquierda, elija Políticas.

  3. Seleccione Crear política.

  4. En la sección Editor de políticas, seleccione la opción JSON; después, en la parte derecha de la página, seleccione Acciones, y luego Importar política.

  5. En la ventana Importar política, seleccione las políticas administradas que mejor coincidan con la política que desea incluir en su nueva política. Puede utilizar el cuadro de búsqueda de la parte superior para limitar los resultados en la lista de políticas.

  6. Seleccione Importar política.

    Las instrucciones de las políticas importadas se añaden a la parte inferior de su política de JSON.

  7. Personalice su política en JSON. Resuelva las advertencias de seguridad, errores o advertencias generales que se generen durante la validación de la política y luego elija Siguiente. O, personalice su política en JSON o elija Editor visual. A continuación, elige Siguiente.

    nota

    Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas.

  8. En la página Revisar y crear, escriba el Nombre de la política y la Descripción (opcional) para la política que está creando. No puede editarlos más tarde. Revise los Permisos definidos en esta política correspondientes a la política y, a continuación, seleccione Crear política para guardar su trabajo.

Después de crear una política, puede asociarla a sus grupos, usuarios o roles. Para obtener más información, consulte Adición y eliminación de permisos de identidad de IAM.