Crear políticas de IAM
Una política es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Puede utilizar la AWS Management Console, la AWS CLI o la API de AWS para crear políticas administradas por el cliente en IAM. Las políticas administradas por el cliente son políticas independientes que usted administra en su propia cuenta de Cuenta de AWS. De este modo, puede asociar las políticas a identidades (usuarios, grupos y roles) de su cuenta de Cuenta de AWS.
Una política que está asociada a una identidad en IAM recibe el nombre de política basada en identidad. Las políticas basadas en identidad pueden incluir políticas administradas por AWS, políticas administradas por el cliente y políticas insertadas. Las políticas administradas por AWS las crea y administra AWS. Puede utilizarlas, pero no puede administrarlas. Un política insertada es aquella que se crea e inserta directamente en un grupo, usuario o rol de IAM. Las políticas insertadas no pueden reutilizarse en otras identidades ni administrarse fuera de la identidad donde existen. Para obtener más información, consulte Adición y eliminación de permisos de identidad de IAM.
Utilice políticas administradas por el cliente en lugar de las políticas insertadas. También es mejor utilizar políticas administradas por el cliente en lugar de políticas administradas por AWS. AWS proporciona normalmente permisos administrativos amplios o de solo lectura. Para mayor seguridad, conceda privilegios mínimos, es decir, conceda solo los permisos necesarios para realizar tareas específicas.
Al crear o editar políticas de IAM, AWS puede realizar automáticamente la validación de políticas para ayudarle a crear una política eficaz con el menor privilegio en mente. En AWS Management Console, IAM identifica errores de sintaxis JSON, mientras que IAM Access Analyzer proporciona verificaciones de políticas adicionales con recomendaciones para ayudarle a perfeccionar aún más las políticas. Para obtener más información acerca la validación de políticas, consulte Validación de políticas de IAM. Para obtener más información acerca de las verificaciones de políticas de IAM Access Analyzer y las recomendaciones procesables, consulte Validación de políticas de IAM Access Analyzer.
Puede utilizar la AWS Management Console, la AWS CLI o la API de AWS para crear políticas administradas por el cliente en IAM. Para más información sobre el uso de plantillas AWS CloudFormation para agregar o actualizar políticas, consulte la referencia del tipo de recurso de AWS Identity and Access Management en la Guía del usuario de AWS CloudFormation.
Temas
