Crear políticas de IAM - AWS Identity and Access Management

Crear políticas de IAM

Una política es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede usar la AWS Management Console, la AWS CLI o la API de AWS para crear políticas administradas por el cliente en IAM. Las políticas administradas por el cliente son políticas independientes que usted administra en su propia cuenta de AWS. A continuación, puede asociar las políticas a identidades (usuarios, grupos y roles) de su cuenta de AWS.

Una política que está asociada a una identidad en IAM recibe el nombre de política basada en identidad. Las políticas basadas en identidad pueden incluir políticas administradas por AWS, políticas administradas por el cliente y políticas integradas. Las políticas administradas por AWS las crea y administra AWS. Puede usarlas, pero no puede administrarlas. Un política insertada es aquella que se crea e inserta directamente en un grupo, usuario o rol de IAM. Las políticas insertadas no pueden reutilizarse en otras identidades ni administrarse fuera de la identidad donde existen. Para obtener más información, consulte Adición y eliminación de permisos de identidad de IAM.

Como práctica recomendada, utilices políticas administradas en lugar de políticas insertadas. También es mejor usar políticas administradas por el cliente en lugar de políticas administradas por AWS. AWS proporciona normalmente permisos administrativos amplios o de solo lectura. Para mayor seguridad, conceda privilegios mínimos, es decir, conceda solo los permisos necesarios para realizar tareas específicas.

Al crear o editar políticas de IAM, AWS puede realizar automáticamente la validación de políticas para ayudarle a crear una política eficaz con el menor privilegio en mente. En AWS Management Console, IAM identifica errores de sintaxis JSON, mientras que IAM Access Analyzer proporciona verificaciones de políticas adicionales con recomendaciones para ayudarle a perfeccionar aún más las políticas. Para obtener más información acerca la validación de políticas, consulte Validación de políticas de IAM. Para obtener más información acerca de las verificaciones de políticas de IAM Access Analyzer y las recomendaciones procesables, consulte Validación de políticas de IAM Access Analyzer.

Puede usar la AWS Management Console, la AWS CLI o la API de AWS para crear políticas administradas por el cliente en IAM.