Managed Policies de AWS para funciones de trabajo
Recomendamos utilizar políticas que otorguen el menor privilegio, o que concedan solo los permisos necesarios para realizar una tarea. La forma más segura de conceder menos privilegios es escribir una política personalizada que tenga solamente los permisos necesarios para su equipo. Debe crear un proceso para permitir que su equipo solicite más permisos cuando sea necesario. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que proporcionen a su equipo solo los permisos necesarios.
Para comenzar a agregar permisos a sus identidades de IAM (usuarios, grupos de usuarios y roles), puede utilizar Políticas administradas de AWS. Las políticas administradas de AWS cubren casos de uso comunes y están disponibles en su cuenta de Cuenta de AWS. Las políticas administradas de AWS no otorgan permisos de privilegios mínimos. Considere el riesgo de seguridad de conceder a sus entidades principales más permisos de los que necesitan para realizar su trabajo.
Puede adjuntar políticas administradas de AWS, incluidas las funciones de trabajo, a cualquier identidad de IAM. Para cambiar a permisos de privilegios mínimos, puede ejecutar AWS Identity and Access Management Access Analyzer para supervisar las entidades principales con las políticas administradas de AWS. Después de saber qué permisos están utilizando, puede escribir una política personalizada o generar una política con solo los permisos necesarios para su equipo. Esto es menos seguro, pero proporciona más flexibilidad a medida que aprende cómo usa su equipo AWS.
Las políticas administradas por AWS de funciones se han creado para estar en consonancia con las funciones comunes del sector de TI. Puede utilizar estas políticas para conceder los permisos necesarios para realizar las tareas que se esperan de alguien en una determinada función. Estas políticas agrupan permisos para numerosos servicios en una única política, lo que facilita el trabajo, ya que los permisos no están diseminados en varias políticas.
Uso de roles para combinar servicios
Algunas de las políticas utilizan los roles del servicio IAM de para ayudarle a sacar partido de las características de otros servicios de AWS. Estas políticas conceden acceso a iam:passrole, que permite a un usuario con la política transmitir un rol a un servicio de AWS. Este rol delega los permisos de IAM al servicio de AWS para llevar a cabo acciones en su nombre.
Debe crear los roles en función de sus necesidades. Por ejemplo, la política de administrador de red permite a un usuario con la política transmitir un rol denominado "flow-logs-vpc" al servicio de Amazon CloudWatch. CloudWatch utiliza dicho rol para registrar y capturar el tráfico IP de las VPC creadas por el usuario.
Para seguir las prácticas recomendadas de seguridad, las políticas de funciones incluyen filtros que limitan los nombres de roles válidos que pueden transmitirse. Esto evita la concesión de permisos innecesarios. Si los usuarios necesitan los roles de servicio opcionales, debe crear un rol que utilice la convención de nomenclatura especificada en la política. A continuación, conceda los permisos al rol. A continuación, el usuario podrá configurar el servicio para utilizar el rol, concediéndole cualquier permiso que el rol proporcione.
En las secciones siguientes, cada nombre de política es un enlace a la página de detalles de la política en la AWS Management Console. Ahí puede ver el documento de la política y revisar los permisos que concede.
Función de trabajo de administrador
Nombre de la política administrada por AWS: AdministratorAccess
Caso de uso: este usuario tiene acceso completo y puede delegar permisos a cada servicio y recurso de AWS.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: esta política concede permisos para todas las acciones de todos los servicios de AWS y todos los recursos de la cuenta. Para obtener más información sobre la política administrada, consulte AdministratorAccess en la AWS Guía de referencia de políticas administradas.
nota
Antes de que un usuario o rol de IAM pueda acceder a la consola de AWS Billing and Cost Management con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.
Función de facturación de trabajo
Nombre de la política administrada por AWS: Billing
Caso de uso: este usuario necesita ver la información de facturación, configurar un pago y autorizarlo. El usuario puede monitorizar los costos acumulados de cada servicio de AWS.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: esta política concede permisos completos para administrar la facturación, los costos, los métodos de pago, los presupuestos y los informes. Para ver otros ejemplos de políticas de administración de costes, consulte los ejemplos de políticas de AWS Billing en la Guía del usuario de AWS Billing and Cost Management. Para obtener más información sobre las políticas administradas, consulte Facturación en la Guía de referencia de políticas administradas de AWS.
nota
Antes de que un usuario o rol de IAM pueda acceder a la consola de AWS Billing and Cost Management con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.
Función de trabajo de administrador de base de datos
Nombre de política administrada por AWS: DatabaseAdministrator
Caso de uso: este usuario configura y mantiene las bases de datos de la nube de AWS.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: esta política concede permisos para crear, configurar y mantener bases de datos. Incluye acceso a servicios de base de datos AWS, como Amazon DynamoDB, Amazon Relational Database Service (RDS) y Amazon Redshift. Vea la política para conocer la lista completa de servicios de base de datos que admite. Para obtener más información sobre la política gestionada, consulte DatabaseAdministrator en la Guía de referencia de políticas gestionadas AWS.
Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Esta política permite la acción iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.
Roles de servicio de IAM opcionales para el trabajo de función de administrador de base de datos | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Caso de uso | Nombre de rol (* es un carácter comodín) | Tipo de rol de servicio que ha de seleccionarse | Seleccionar esta política administrada por AWS | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir al usuario que monitorice las bases de datos de RDS | rds-monitoring-role | Rol de Amazon RDS para un monitoreo mejorado | AmazonRDSEnhancedMonitoringRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que AWS Lambda monitorice la base de datos y obtenga acceso a las bases de datos externas | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir a Lambda cargar archivos en Amazon S3 y en clústeres de Amazon Redshift con DynamoDB | lambda_exec_role |
AWS Lambda | Crear una nueva política administrada, tal y como se define en el blog de big data de AWS |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que las funciones de Lambda actúen como activadores de las tablas de DynamoDB | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que las funciones de Lambda obtengan acceso a Amazon RDS en una VPC | lambda-vpc-execution-role | Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Lambda | AWSLambdaVPCAccessExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS | DataPipelineDefaultRole | Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Data Pipeline | La documentación AWS Data Pipeline enumera los permisos necesarios para este caso de uso. Consulte Roles de IAM para AWS Data Pipeline | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS | DataPipelineDefaultResourceRole | Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Data Pipeline | AmazonEC2RoleforDataPipelineRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Función del trabajo de científico de datos
Nombre de la política administrada por AWS: DataScientist
Caso de uso: este usuario ejecuta consultas y trabajos de Hadoop. El usuario también obtiene acceso a la información y la analiza para las tareas de análisis de datos e inteligencia empresarial.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: esta política concede permisos para crear, administrar y ejecutar consultas en un clúster de Amazon EMR y realizar análisis de datos con herramientas tales como Amazon QuickSight. La política incluye el acceso a servicios de científicos de datos adicionales, como AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning y SageMaker. Vea la política para conocer la lista completa de servicios científicos de datos que admite. Para obtener más información sobre la política administrada, consulte DataScientist en Guía de referencia de políticas AWS administradas.
Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Una instrucción permite pasar cualquier rol a SageMaker. Otra instrucción permite la acción iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.
Roles de servicio de IAM opcionales para la función de científico de datos | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Caso de uso | Nombre de rol (* es un carácter comodín) | Tipo de rol de servicio que ha de seleccionarse | Política administrada por AWS que ha de seleccionarse | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que las instancias de Amazon EC2 obtengan acceso a servicios y recursos adecuados para clústeres | EMR-EC2_DefaultRole | Amazon EMR para EC2 | AmazonElasticMapReduceforEC2Role |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que Amazon EMR obtenga acceso a los servicios y recursos de Amazon EC2 para clústeres | EMR_DefaultRole | Amazon EMR | AmazonEMRServicePolicy_v2 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permita que Kinesis Managed Service for Apache Flink acceda a los orígenes de datos de streaming | kinesis-* |
Crear un rol con una política de confianza, tal y como se define en el blog de big data de AWS |
Consulte el blog de big data de AWS |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS | DataPipelineDefaultRole | Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Data Pipeline | La documentación AWS Data Pipeline enumera los permisos necesarios para este caso de uso. Consulte Roles de IAM para AWS Data Pipeline | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS | DataPipelineDefaultResourceRole | Crear un rol con una política de confianza, tal y como se define en la Guía del desarrollador de AWS Data Pipeline | AmazonEC2RoleforDataPipelineRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Función de trabajo de usuario avanzado desarrollador
Nombre de la política administrada por AWS: PowerUserAccess
Caso de uso: este usuario realiza tareas de desarrollo de aplicaciones y puede crear y configurar recursos y servicios que respalden el desarrollo de aplicaciones compatibles con AWS.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: la primera instrucción de esta política utiliza el elemento NotAction para permitir todas las acciones para todos los servicios de AWS y para todos los recursos, excepto AWS Identity and Access Management, AWS Organizations y AWS Account Management. La segunda instrucción concede permisos de IAM para crear un rol vinculado al servicio. Esto es necesario en el caso de ciertos servicios que deben tener acceso a recursos de otro servicio, como un bucket de Amazon S3. También concede permisos de Organizations para ver información acerca de la organización del usuario, incluido el correo electrónico de la cuenta de administración y las limitaciones de la organización. Aunque esta política limita a IAM y Organizations, permite al usuario realizar todas las acciones de IAM Identity Center si está habilitado IAM Identity Center. También otorga permisos de administración de cuentas para ver qué regiones de AWS están habilitadas o deshabilitadas para la cuenta.
Función de trabajo del administrador de red
Nombre de la política administrada por AWS: NetworkAdministrator
Caso de uso: este usuario tiene la tarea de configurar y mantener los recursos de red de AWS.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: esta política concede permisos para crear y mantener recursos de red en Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic BeanstalkAmazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM y Amazon Virtual Private Cloud. Para obtener más información sobre la política administrada, consulte NetworkAdministrator en la Guía de referencia de políticas AWS administradas.
Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos iam:GetRole y iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.
Roles de servicio de IAM opcionales para la función de administrador de red | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Caso de uso | Nombre de rol (* es un carácter comodín) | Tipo de rol de servicio que ha de seleccionarse | Política administrada por AWS que ha de seleccionarse | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permite que Amazon VPC cree y administre registros en CloudWatch Logs en nombre del usuario para monitorear el tráfico IP entrante y saliente de la VPC | flow-logs-* | Crear un rol con una política de confianza, tal y como se define en la Guía del usuario de Amazon VPC | Este caso de uso no tiene una política administrada por AWS existente, pero la documentación indica los permisos necesarios. Consulte la Guía del usuario de Amazon VPC | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Acceso de solo lectura
Nombre de la política administrada por AWS: ReadOnlyAccess
Caso de uso: este usuario requiere acceso de solo lectura a todos los recursos de una cuenta de Cuenta de AWS.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: esta política concede permisos para enumerar, obtener, describir y ver recursos y sus atributos de otro modo. No incluye funciones de mutación como crear o eliminar. Esta política incluye acceso de solo lectura a servicios de AWS relacionados con la seguridad, como AWS Identity and Access Management y AWS Billing and Cost Management. Vea la política para conocer la lista completa de servicios y acciones que admite esta política.
Función de trabajo de auditor de seguridad
Nombre de la política administrada por AWS: SecurityAudit
Caso de uso: este usuario monitoriza las cuentas para comprobar que cumplan con los requisitos de seguridad. Este usuario puede obtener acceso a los logs y eventos para investigar posibles infracciones de seguridad o actividades malintencionadas.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: esta política concede permisos para ver los datos de configuración de muchos servicios de AWS y revisar sus registros. Para obtener más información sobre la política gestionada, consulte SecurityAudit en la Guía de referencia de políticas AWS gestionadas.
Función de trabajo de usuario de soporte
Nombre de la política administrada por AWS: SupportUser
Caso de uso: este usuario se pone en contacto con AWS Support, crea casos de soporte y consulta el estado de los casos existentes.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de política: esta política concede permisos para crear y actualizar casos de AWS Support. Para obtener información sobre las políticas administradas, consulte SupportUser en la Guía de referencia de políticas administradas de AWS.
Función de trabajo de administrador del sistema
Nombre de la política administrada por AWS: SystemAdministrator
Caso de uso: este usuario configura y mantiene los recursos para realizar operaciones de desarrollo.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: Esta política concede permisos para crear y mantener los recursos de una gran variedad de servicios de AWS, incluyendo AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor y Amazon VPC. Para obtener más información sobre la política administrada, consulte SystemAdministrator en la Guía de referencia de políticas AWS administradas.
Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos iam:GetRole y iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Roles de servicio de IAM opcionales para el trabajo de administrador de sistemas | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Caso de uso | Nombre de rol (* es un carácter comodín) | Tipo de rol de servicio que ha de seleccionarse | Política administrada por AWS que ha de seleccionarse | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que las aplicaciones que se ejecutan en instancias EC2 de un clúster de Amazon ECS obtengan acceso a Amazon ECS | ecr-sysadmin-* | Rol de Amazon EC2 para EC2 Container Service | AmazonEC2ContainerServiceforEC2Role |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir a un usuario que monitorice las bases de datos | rds-monitoring-role | Rol de Amazon RDS para un monitoreo mejorado | AmazonRDSEnhancedMonitoringRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que las aplicaciones que se ejecutan en instancias EC2 obtengan acceso a los recursos de AWS | ec2-sysadmin-* | Amazon EC2 | Ejemplo de política para un rol que concede acceso a un bucket de S3, tal y como se muestra en la Guía del usuario de Amazon EC2 para instancias de Linux; personalizar según sea necesario | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Permitir que Lambda lea DynamoDB Streams y escriba en los CloudWatch Logs | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Función de trabajo de usuario de solo lectura
Nombre de la política administrada por AWS: ViewOnlyAccess
Caso de uso: este usuario puede ver en su cuenta una lista de metadatos básicos y recursos de AWS en los servicios. El usuario no puede leer contenido de recursos ni metadatos más allá de la información de cuotas y de listas correspondientes a los recursos.
Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña Versiones de políticas. Para obtener más información acerca de las políticas de funciones de trabajo, consulte Actualizaciones de políticas administradas de AWS para funciones de trabajo.
Descripción de la política: esta política concede a List*, Describe*, Get*, View* y Lookup* acceso a los recursos de los servicios de AWS. Para ver qué acciones incluye esta política para cada servicio, consulte ViewOnlyAccess
Actualizaciones de políticas administradas de AWS para funciones de trabajo
AWS mantiene todas estas políticas y las actualiza para incluir soporte de nuevos servicios y nuevas funciones a medida que AWS los agrega. Los clientes no pueden modificar estas políticas. Puede realizar una copia de la política y, a continuación, modificar la copia, pero que no se actualiza automáticamente como copia de AWS introduce nuevos servicios y operaciones del API.
Para una política de función de trabajo, puede ver el historial de versiones y la hora y fecha de cada actualización en la consola de IAM. Para hacer esto, utilice los vínculos de esta página para ver los detalles de la política. A continuación, elija la pestaña Versiones de políticas para ver las versiones. Esta página muestra las últimas 25 versiones de una política. Para ver todas las versiones de una política, llame al comando get-policy-version de AWS CLI o la operación GetPolicyVersion de la API
nota
Puede tener hasta cinco versiones de una política administrada por el cliente, pero AWS conserva el historial de versiones completo de las políticas administradas de AWS.
