AWSManaged Policies de para funciones de trabajo - AWS Identity and Access Management

AWSManaged Policies de para funciones de trabajo

Recomendamos utilizar políticas que otorguen el menor privilegio, o que concedan solo los permisos necesarios para realizar una tarea. La forma más segura de conceder menos privilegios es escribir una política personalizada que tenga solamente los permisos necesarios para su equipo. Debe crear un proceso para permitir que su equipo solicite más permisos cuando sea necesario. Se necesita tiempo y experiencia para crear políticas de IAM administradas por el cliente que proporcionen a su equipo solo los permisos necesarios.

Para comenzar a agregar permisos a sus identidades de IAM (usuarios, grupos de usuarios y roles), puede utilizar AWSPolíticas administradas por . Las políticas administradas de AWS cubren casos de uso comunes y están disponibles en su cuenta de AWS. las políticas administradas de AWS no otorgan permisos de privilegios mínimos. Considere el riesgo de seguridad de conceder a sus entidades principales más permisos de los que necesitan para realizar su trabajo.

Puede adjuntar políticas administradas de AWS, incluidas las funciones de trabajo, a cualquier identidad de IAM. Para cambiar a permisos de privilegios mínimos, puede ejecutar AWS Identity and Access Management Access Analyzer para supervisar las entidades principales con las políticas administradas de AWS. Después de saber qué permisos están utilizando, puede escribir una política personalizada o generar una política con solo los permisos necesarios para su equipo. Esto es menos seguro, pero proporciona más flexibilidad a medida que aprende cómo usa su equipo AWS.

AWSLas políticas administradas por de funciones se han creado para estar en consonancia con las funciones comunes del sector de TI. Puede utilizar estas políticas para conceder los permisos necesarios para realizar las tareas que se esperan de alguien en una determinada función. Estas políticas agrupan permisos para numerosos servicios en una única política, lo que facilita el trabajo, ya que los permisos no están diseminados en varias políticas.

Uso de roles para combinar servicios

Algunas de las políticas utilizan los roles del servicio IAM de para ayudarle a sacar partido de las características de otros servicios de AWS. Estas políticas conceden acceso a iam:passrole, que permite a un usuario con la política transmitir un rol a un servicio de AWS. Este rol delega los permisos de IAM al servicio de AWS para llevar a cabo acciones en su nombre.

Debe crear los roles en función de sus necesidades. Por ejemplo, la política de administrador de red permite a un usuario con la política transmitir un rol denominado "flow-logs-vpc" al servicio de Amazon CloudWatch. CloudWatch utiliza dicho rol para registrar y capturar el tráfico IP de las VPC creadas por el usuario.

Para seguir las prácticas recomendadas de seguridad, las políticas de funciones incluyen filtros que limitan los nombres de roles válidos que pueden transmitirse. Esto evita la concesión de permisos innecesarios. Si los usuarios necesitan los roles de servicio opcionales, debe crear un rol que utilice la convención de nomenclatura especificada en la política. A continuación, conceda los permisos al rol. A continuación, el usuario podrá configurar el servicio para utilizar el rol, concediéndole cualquier permiso que el rol proporcione.

En las secciones siguientes, cada nombre de política es un enlace a la página de detalles de la política en la AWS Management Console. Ahí puede ver el documento de la política y revisar los permisos que concede.

Función de trabajo de administrador

Nombre de la política administrada por AWS: AdministratorAccess

Caso de uso: este usuario tiene acceso completo y puede delegar permisos a cada servicio y recurso de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: esta política concede permisos para todas las acciones de todos los servicios de AWS y todos los recursos de la cuenta.

nota

Antes de que un usuario o rol de IAM pueda acceder a la consola de AWS Billing and Cost Management con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

Función de facturación de trabajo

Nombre de la política administrada por AWS: Billing

Caso de uso: este usuario necesita ver la información de facturación, configurar un pago y autorizarlo. El usuario puede monitorizar los costos acumulados de cada servicio de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: esta política concede permisos completos para administrar la facturación, los costos, los métodos de pago, los presupuestos y los informes.

nota

Antes de que un usuario o rol de IAM pueda acceder a la consola de AWS Billing and Cost Management con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

Función de trabajo de administrador de base de datos

Nombre de política administrada por AWS: DatabaseAdministrator

Caso de uso: este usuario configura y mantiene las bases de datos de la nube de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: esta política concede permisos para crear, configurar y mantener bases de datos. Incluye acceso a servicios de base de datos AWS, como Amazon DynamoDB, Amazon Relational Database Service (RDS) y Amazon Redshift. Vea la política para conocer la lista completa de servicios de base de datos que admite.

Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Esta política permite la acción iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para el trabajo de función de administrador de base de datos
Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse Seleccionar esta política administrada por AWS
Permitir al usuario que monitorice las bases de datos de RDS rds-monitoring-role Rol de Amazon RDS para un monitoreo mejorado AmazonRDSEnhancedMonitoringRole
Permitir que AWS Lambda monitorice la base de datos y obtenga acceso a las bases de datos externas rdbms-lambda-access Amazon EC2 AWSLambda_FullAccess
Permitir a Lambda cargar archivos en Amazon S3 y en clústeres de Amazon Redshift con DynamoDB lambda_exec_role AWS Lambda Crear una nueva política administrada, tal y como se define en el blog de big data de AWS
Permitir que las funciones de Lambda actúen como activadores de las tablas de DynamoDB lambda-dynamodb-* AWS Lambda AWSLambdaDynamoDBExecutionRole
Permitir que las funciones de Lambda obtengan acceso a Amazon RDS en una VPC lambda-vpc-execution-role Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Lambda AWSLambdaVPCAccessExecutionRole
Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS DataPipelineDefaultRole Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Data Pipeline La documentación AWS Data Pipeline enumera los permisos necesarios para este caso de uso. Consulte Roles de IAM para AWS Data Pipeline
Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS DataPipelineDefaultResourceRole Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Data Pipeline AmazonEC2RoleforDataPipelineRole

Función del trabajo de científico de datos

Nombre de la política administrada por AWS: DataScientist

Caso de uso: este usuario ejecuta consultas y trabajos de Hadoop. El usuario también obtiene acceso a la información y la analiza para las tareas de análisis de datos e inteligencia empresarial.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: esta política concede permisos para crear, administrar y ejecutar consultas en un clúster de Amazon EMR y realizar análisis de datos con herramientas tales como Amazon QuickSight. La política incluye el acceso a servicios de científicos de datos adicionales, como AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning y SageMaker. Vea la política para conocer la lista completa de servicios científicos de datos que admite.

Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Una instrucción permite pasar cualquier rol a SageMaker. Otra instrucción permite la acción iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de científico de datos
Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse AWSPolítica administrada por que ha de seleccionarse
Permitir que las instancias de Amazon EC2 obtengan acceso a servicios y recursos adecuados para clústeres EMR-EC2_DefaultRole Amazon EMR para EC2 AmazonElasticMapReduceforEC2Role
Permitir que Amazon EMR obtenga acceso a los servicios y recursos de Amazon EC2 para clústeres EMR_DefaultRole Amazon EMR AmazonEMRServicePolicy_v2
Permitir que Kinesis Kinesis Data Analytics acceda a fuentes de datos de streaming kinesis-* Crear un rol con una política de confianza, tal y como se define en el blog de big data de AWS. Consulte el blog de big data de AWS, que define cuatro posibles opciones en función de su caso de uso
Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS DataPipelineDefaultRole Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Data Pipeline La documentación AWS Data Pipeline enumera los permisos necesarios para este caso de uso. Consulte Roles de IAM para AWS Data Pipeline
Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS DataPipelineDefaultResourceRole Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Data Pipeline AmazonEC2RoleforDataPipelineRole

Función de trabajo de usuario avanzado desarrollador

Nombre de la política administrada por AWS: PowerUserAccess

Caso de uso: este usuario realiza tareas de desarrollo de aplicaciones y puede crear y configurar recursos y servicios que respalden el desarrollo de aplicaciones compatibles con AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: la primera instrucción de esta política usa el elemento NotAction para permitir todas las acciones para todos los servicios de AWS y para todos los recursos excepto AWS Identity and Access Management y AWS Organizations. La segunda instrucción concede permisos de IAM para crear un rol vinculado al servicio. Esto es necesario en el caso de ciertos servicios que deben tener acceso a recursos de otro servicio, como un bucket de Amazon S3. También concede permisos de Organizations para ver información acerca de la organización del usuario, incluido el correo electrónico de la cuenta de administración y las limitaciones de la organización. Aunque esta política limita el acceso de IAM y Organizations, permite al usuario realizar todas las acciones de IAM Identity Center si el IAM Identity Center está habilitado.

Función de trabajo del administrador de red

Nombre de la política administrada por AWS: NetworkAdministrator

Caso de uso: este usuario tiene la tarea de configurar y mantener los recursos de red de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: esta política concede permisos para crear y mantener recursos de red en Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic BeanstalkAmazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM y Amazon Virtual Private Cloud.

Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos iam:GetRole y iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de administrador de red
Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse AWSPolítica administrada por que ha de seleccionarse
Permite que Amazon VPC cree y administre registros en CloudWatch Logs en nombre del usuario para monitorear el tráfico IP entrante y saliente de la VPC flow-logs-* Crear un rol con una política de confianza, tal y como se define en la Guía del usuario de Amazon VPC Este caso de uso no tiene una política administrada por AWS existente, pero la documentación indica los permisos necesarios. Consulte la Guía del usuario de Amazon VPC

Acceso de solo lectura

Nombre de la política administrada por AWS: ReadOnlyAccess

Caso de uso: este usuario requiere acceso de solo lectura a todos los recursos de una cuenta de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: esta política concede permisos para enumerar, obtener, describir y ver recursos y sus atributos de otro modo. No incluye funciones de mutación como crear o eliminar. Esta política incluye acceso de solo lectura a servicios de AWS relacionados con la seguridad, como AWS Identity and Access Management y AWS Billing and Cost Management. Vea la política para conocer la lista completa de servicios y acciones que admite esta política.

Función de trabajo de auditor de seguridad

Nombre de la política administrada por AWS: SecurityAudit

Caso de uso: este usuario monitoriza las cuentas para comprobar que cumplan con los requisitos de seguridad. Este usuario puede obtener acceso a los logs y eventos para investigar posibles infracciones de seguridad o actividades malintencionadas.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: esta política concede permisos para ver los datos de configuración de muchos servicios de AWS y revisar sus registros.

Función de trabajo de usuario de soporte

Nombre de la política administrada por AWS: SupportUser

Caso de uso: este usuario se pone en contacto con AWS Support, crea casos de soporte y consulta el estado de los casos existentes.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de política: esta política concede permisos para crear y actualizar casos de AWS.

Función de trabajo de administrador del sistema

Nombre de la política administrada por AWS: SystemAdministrator

Caso de uso: este usuario configura y mantiene los recursos para realizar operaciones de desarrollo.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: Esta política concede permisos para crear y mantener los recursos de una gran variedad de servicios de AWS, incluyendo AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor y Amazon VPC.

Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos iam:GetRole y iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para el trabajo de administrador de sistemas
Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse AWSPolítica administrada por que ha de seleccionarse
Permitir que las aplicaciones que se ejecutan en instancias EC2 de un clúster de Amazon ECS obtengan acceso a Amazon ECS ecr-sysadmin-* Rol de Amazon EC2 para EC2 Container Service AmazonEC2ContainerServiceforEC2Role
Permitir a un usuario que monitorice las bases de datos rds-monitoring-role Rol de Amazon RDS para un monitoreo mejorado AmazonRDSEnhancedMonitoringRole
Permitir que las aplicaciones que se ejecutan en instancias EC2 obtengan acceso a los recursos de AWS ec2-sysadmin-* Amazon EC2 Ejemplo de política para un rol que concede acceso a un bucket de S3, tal y como se muestra en la Guía del usuario de Amazon EC2 para instancias de Linux; personalizar según sea necesario
Permitir que Lambda lea DynamoDB Streams y escriba en los CloudWatch Logs lambda-sysadmin-* AWS Lambda AWSLambdaDynamoDBExecutionRole

Función de trabajo de usuario de solo lectura

Nombre de la política administrada por AWS: ViewOnlyAccess

Caso de uso: este usuario puede ver en su cuenta una lista de metadatos básicos y recursos de AWS de todos los servicios. El usuario no puede leer contenido de recursos ni metadatos más allá de la información de cuotas y de listas correspondientes a los recursos.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.

Descripción de la política: esta política concede permisos de acceso List*, Describe*, Get*, View* y Lookup* a los recursos de la mayoría de servicios de AWS. Para ver qué acciones incluye esta política para cada servicio, consulte ViewOnlyAccess.

Actualizaciones de políticas administradas de AWS para funciones de trabajo

AWS mantiene todas estas políticas y las actualiza para incluir soporte de nuevos servicios y nuevas funciones a medida que AWS los agrega. Los clientes no pueden modificar estas políticas. Puede realizar una copia de la política y, a continuación, modificar la copia, pero que no se actualiza automáticamente como copia de AWS introduce nuevos servicios y operaciones del API.

Para una política de función de trabajo, puede ver el historial de versiones y la hora y fecha de cada actualización en la consola de IAM. Para hacer esto, utilice los vínculos de esta página para ver los detalles de la política. A continuación, elija la pestaña Versiones de políticas para ver las versiones. Esta página muestra las últimas 25 versiones de una política. Para ver todas las versiones de una política, llame al comando get-policy-version de AWS CLI o la operación GetPolicyVersion de la API

nota

Puede tener hasta cinco versiones de una política administrada por el cliente, pero AWS conserva el historial de versiones completo de las políticas administradas de AWS.