Políticas basadas en identidad y políticas basadas en recursos - AWS Identity and Access Management

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Políticas basadas en identidad y políticas basadas en recursos

Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. Al crear una política de permisos para restringir el acceso a un recurso, puede elegir una política basada en identidad o una política basada en recursos.

Las políticas basadas en identidad se asocian a un usuario, grupo o rol de IAM. Estas políticas le permiten especificar lo que esa identidad puede hacer (sus permisos). Por ejemplo, puede asociar la política a un usuario de IAM llamado John, indicando que tiene permiso para utilizar la acción RunInstances de Amazon EC2. La política podría indicar además que John puede obtener elementos de un Amazon DynamoDB tabla denominada MyCompany. También puede permitir que John gestione su propio IAM las credenciales de seguridad de. Las políticas basadas en la identidad pueden ser administradas o insertadas.

Las políticas basadas en recursos se asocian a un recurso. Por ejemplo, puede asociar políticas basadas en recursos a buckets de Amazon S3, colas de Amazon SQS y claves de cifrado de AWS Key Management Service. Para obtener una lista de las políticas que admiten los permisos basados en recursos, consulte AWS servicios que funcionan con IAM.

Con las políticas basadas en recursos, puede especificar quién tiene acceso al recurso y qué acciones puede realizar en él. Para obtener información sobre si las entidades principales de las cuentas que no se encuentran en su zona de confianza (cuenta u organización de confianza) tienen acceso para asumir sus roles, consulte ¿Qué es IAM Access Analyzer?. Las políticas basadas en recursos solo son insertadas, no se administran.

nota

Las políticas basadas en recursos difieren de los permisos en el nivel de recursos. Puede asociar políticas basadas en recursos directamente a un recurso, tal y como se describe en este tema. Los permisos de nivel de recursos se refieren a la capacidad de usar ARN para especificar recursos individuales en una política. Las políticas basadas en recursos solo se admiten en algunos servicios de AWS. Para obtener una lista de los servicios que admiten las políticas basadas en recursos y de nivel de recursos, consulte AWS servicios que funcionan con IAM.

Para comprender mejor estos conceptos, vea la siguiente ilustración. El administrador de la cuenta 123456789012 asociada a las políticas basadas en identidad a los usuarios JohnSmith, CarlosSalazar y MaryMajor. Algunas de las acciones de estas políticas pueden realizarse en recursos específicos. Por ejemplo, el usuario JohnSmith puede realizar algunas acciones en Resource X. Esto es un permiso de nivel de recursos en una política basada en identidad. El administrador también añadió Políticas basadas en recursos de de Resource Xde Resource Y, y Resource Z. Las políticas basadas en recursos le permiten especificar quién puede obtener acceso a ese recurso. Por ejemplo, la política basada en recursos en Resource X permite a la lista de usuarios JohnSmith y MaryMajor acceso de lectura al recurso.


         Políticas basadas en identidad y políticas basadas en recursos

El ejemplo de cuenta 123456789012 permite a los siguientes usuarios realizar las acciones indicadas:

  • de JohnSmith – Juan puede realizar acciones de lista y lectura en Resource X. Se le concede este permiso por la política basada en identidades en su usuario de y la política basada en recursos en Resource X.

  • Carlos Salazar – Carlos puede realizar acciones de lista, lectura y escritura en Resource Y, pero se deniega el acceso a Resource Z. La política basada en la identidad de Carlos le permite realizar acciones de lista y lectura en Resource Y. El Resource Y La política basada en recursos de también le permite escribir permisos de. Sin embargo, aunque su política basada en la identidad le permite el acceso a Resource Z, la política basada en recursos Resource Z deniega ese tipo de acceso. Una denegación Deny explícita anula un permiso Allow, lo que le impide el acceso a Resource Z. Para obtener más información, consulte Lógica de evaluación de políticas.

  • María Mayor – María puede realizar operaciones de lista, lectura y escritura en Resource Xde Resource Y, y Resource Z. Su política basada en identidades le permite más acciones en más recursos que las políticas basadas en recursos, pero ninguna de ellas deniega el acceso a.

  • de Zhang – Zhang tiene acceso completo a Resource Z. Zhang no tiene políticas basadas en identidad, pero el Resource Z La política basada en recursos de le permite obtener acceso completo al recurso. Zhang también puede realizar acciones de lista y lectura en Resource Y.

Las políticas basadas en la identidad y las políticas basadas en recursos son políticas de permisos y se evalúan juntas. Para una solicitud a la que solo se aplican políticas de permisos, AWS primero comprueba todas las políticas para un Deny. If one exists, then the request is denied. Luego AWS para cada Allow. Si al menos una instrucción de política permite la acción en la solicitud, se permite la solicitud. No importa si el permiso Allow se encuentra en la política basada en identidad o en la política basada en recursos.

importante

Esta lógica solo se aplica cuando la solicitud se realiza dentro de una cuenta única de AWS. Para las solicitudes realizadas de una cuenta a otra, el solicitante en Account A debe tener una política basada en identidad que les permita realizar una solicitud al recurso en Account B. Además, la política basada en recursos en Account B debe permitir al solicitante en Account A para obtener acceso al recurso. Debe haber políticas en ambas cuentas que permitan la operación; de lo contrario, la solicitud producirá un error. Para obtener más información acerca del uso de políticas basadas en recursos para acceso entre cuentas, consulte Cómo IAM Los roles de difieren de las políticas basadas en recursos.

Un usuario que tenga permisos específicos puede solicitar un recurso que también tenga una política de permisos asociada. En ese caso, AWS evalúa ambos conjuntos de permisos al determinar si debe conceder acceso al recurso. Para obtener información sobre cómo se evalúan las políticas, consulte Lógica de evaluación de políticas.

nota

Amazon S3 admite las políticas basadas en identidad y las políticas basadas en recursos (a las que se denomina políticas de bucket). Además, Amazon S3 es compatible con un mecanismo de permiso conocido como una lista de control de acceso (ACL) independiente de las políticas y los permisos de IAM. Puede utilizar políticas de IAM combinadas con ACL de Amazon S3. Para obtener más información, consulte Control de acceso en la Guía para desarrolladores de Amazon Simple Storage Service.