Creación de políticas de IAM - AWS Identity and Access Management

Creación de políticas de IAM

Una política es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede usar la AWS Management Console, la AWS CLI o la API de AWS para crear políticas administradas por el cliente en IAM. Las políticas administradas por el cliente son políticas independientes que usted administra en su propia cuenta de AWS. A continuación, puede asociar las políticas a identidades (usuarios, grupos y roles) de su cuenta de AWS.

Una política que está asociada a una identidad en IAM recibe el nombre de política basada en identidad. Las políticas basadas en identidad pueden incluir políticas administradas por AWS, políticas administradas por el cliente y políticas integradas. Las políticas administradas por AWS las crea y administra AWS. Puede usarlas, pero no puede administrarlas. Un política insertada es aquella que se crea e inserta directamente en un grupo, usuario o rol de IAM. Las políticas insertadas no pueden reutilizarse en otras identidades ni administrarse fuera de la identidad donde existen. Para obtener más información, consulte Adición y eliminación de permisos de identidad de IAM.

Como práctica recomendada, utilices políticas administradas en lugar de políticas insertadas. También es mejor usar políticas administradas por el cliente en lugar de políticas administradas por AWS. AWS proporciona normalmente permisos administrativos amplios o de solo lectura. Para mayor seguridad, conceda privilegios mínimos, es decir, conceda solo los permisos necesarios para realizar tareas específicas.

Al crear o editar políticas de IAM, AWS puede validar automáticamente las políticas para ayudarle a crear una política eficaz con mínimos privilegios en mente. En la AWS Management Console, IAM identifica los errores de sintaxis de JSON, mientras que IAM Access Analyzer proporciona comprobaciones de políticas adicionales con recomendaciones que le ayudarán a perfeccionar aún más sus políticas. Para obtener más información sobre la validación de políticas, consulte Validación de políticas de IAM. Para obtener más información sobre comprobaciones de políticas y recomendaciones procesables de IAM Access Analyzer, consulte Validación de políticas de IAM Access Analyzer.

Puede usar la AWS Management Console, la AWS CLI o la API de AWS para crear políticas administradas por el cliente en IAM.