Managed Policies de AWS para funciones de trabajo - AWS Identity and Access Management

Managed Policies de AWS para funciones de trabajo

Para comenzar a agregar permisos a sus identidades de IAM (usuarios, grupos de usuarios y roles), puede utilizar políticas administradas de AWS. Se necesita tiempo y experiencia para crear políticas de IAM administradas por clientes que proporcionen a su equipo solo los permisos que necesita. Las políticas administradas de AWS abarcan casos de uso comunes y están disponibles en su cuenta de AWS. Para obtener más información sobre las políticas administradas de AWS, consulte Políticas administradas por AWS.

Las políticas administradas por AWS de funciones se han creado para estar en consonancia con las funciones comunes del sector de TI. Puede utilizar estas políticas para conceder fácilmente los permisos necesarios para realizar las tareas que se esperan de alguien en una determinada función. Estas políticas agrupan permisos para numerosos servicios en una única política, lo que facilita el trabajo, ya que los permisos no están diseminados en varias políticas.

Puede asociar políticas administradas de AWS, incluidas las funciones de trabajo, a cualquier identidad de IAM (usuarios, grupo de usuarios o roles).

Uso de roles para combinar servicios

Algunas de las políticas utilizan los roles del servicio IAM para ayudarle a sacar partido de las características de otros servicios de AWS. Estas políticas conceden acceso a iam:passrole, que permite a un usuario con la política transmitir un rol a un servicio de AWS. Este rol delega los permisos de IAM al servicio de AWS para llevar a cabo acciones en su nombre.

Debe crear los roles en función de sus necesidades. Por ejemplo, la política de administrador de red permite a un usuario con la política transmitir un rol denominado "flow-logs-vpc" al servicio de Amazon CloudWatch. CloudWatch utiliza dicho rol para registrar y capturar el tráfico IP de las VPC creadas por el usuario.

Para seguir las prácticas recomendadas de seguridad, las políticas de funciones incluyen filtros que limitan los nombres de roles válidos que pueden transmitirse. Esto evita la concesión de permisos innecesarios. Si los usuarios necesitan los roles de servicio opcionales, debe crear un rol que utilice la convención de nomenclatura especificada en la política. A continuación, conceda los permisos al rol. A continuación, el usuario podrá configurar el servicio para utilizar el rol, concediéndole cualquier permiso que el rol proporcione.

En las secciones siguientes, cada nombre de política es un enlace a la página de detalles de la política en la AWS Management Console. Ahí puede ver el documento de la política y revisar los permisos que concede.

Función de trabajo de administrador

Nombre de la política administrada por AWS: AdministratorAccess

Caso de uso: este usuario tiene acceso completo y puede delegar permisos a cada servicio y recurso de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: esta política concede permisos para todas las acciones de todos los servicios de AWS y todos los recursos de la cuenta.

nota

Antes de que un usuario o rol de IAM pueda acceder a la consola de AWS Billing and Cost Management con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

Función de trabajo de facturación

Nombre de la política administrada por AWS: Billing

Caso de uso: este usuario necesita ver la información de facturación, configurar un pago y autorizarlo. El usuario puede monitorizar los costos acumulados de cada servicio de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: esta política concede permisos completos para administrar la facturación, los costos, los métodos de pago, los presupuestos y los informes.

nota

Antes de que un usuario o rol de IAM pueda acceder a la consola de AWS Billing and Cost Management con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

Función de trabajo de administrador de base de datos

Nombre de política administrada por AWS: DatabaseAdministrator

Caso de uso: este usuario configura y mantiene las bases de datos de la nube de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: esta política concede permisos para crear, configurar y mantener bases de datos. Incluye el acceso a los servicios de bases de datos de AWS, como, por ejemplo Amazon DynamoDB, Amazon Relational Database Service (RDS) y Amazon Redshift. Vea la política para conocer la lista completa de servicios de base de datos que admite.

Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Esta política permite la acción iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de trabajo de administrador de base datos
Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse Seleccionar esta política administrada por AWS
Permitir al usuario que monitorice las bases de datos de RDS rds-monitoring-role Rol de Amazon RDS para una monitorización mejorada AmazonRDSEnhancedMonitoringRole
Permitir que AWS Lambda monitorice la base de datos y obtenga acceso a las bases de datos externas rdbms-lambda-access Amazon EC2 AWSLambda_FullAccess
Permitir que Lambda cargue archivos en los clústeres de Amazon S3 y Amazon Redshift con DynamoDB lambda_exec_role AWS Lambda Crear una nueva política administrada, tal y como se define en el blog de big data de AWS
Permitir que las funciones de Lambda actúen como activadores de las tablas de DynamoDB lambda-dynamodb-* AWS Lambda AWSLambdaDynamoDBExecutionRole
Permitir que las funciones de Lambda obtengan acceso a Amazon RDS en una VPC lambda-vpc-execution-role Crear un rol con una política de confianza, tal y como se define en la AWS Lambda Developer Guide AWSLambdaVPCAccessExecutionRole
Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS DataPipelineDefaultRole Crear un rol con una política de confianza, tal y como se define en la Guía para desarrolladores de AWS Data Pipeline La documentación de AWS Data Pipeline enumera los permisos necesarios para este caso de uso. Consulte roles de IAM para AWS Data Pipeline
Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS DataPipelineDefaultResourceRole Crear un rol con una política de confianza, tal y como se define en la Guía para desarrolladores de AWS Data Pipeline AmazonEC2RoleforDataPipelineRole

Función de trabajo de científico de datos

Nombre de la política administrada por AWS: DataScientist

Caso de uso: este usuario ejecuta consultas y trabajos de Hadoop. El usuario también obtiene acceso a la información y la analiza para las tareas de análisis de datos e inteligencia empresarial.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: esta política concede permisos para crear, administrar y ejecutar consultas en un clúster de Amazon EMR y realizar análisis de datos con herramientas tales como Amazon QuickSight. La política incluye el acceso a servicios científicos de datos adicionales, tales como AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning y SageMaker. Vea la política para conocer la lista completa de servicios científicos de datos que admite.

Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Una instrucción permite pasar cualquier rol a SageMaker. Otra instrucción permite la acción iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de científico de datos
Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse Política administrada por AWS que ha de seleccionarse
Permitir que las instancias Amazon EC2 obtengan acceso a servicios y recursos adecuados para clústeres EMR-EC2_DefaultRole Amazon EMR para EC2 AmazonElasticMapReduceforEC2Role
Permitir que Amazon EMR obtenga acceso a los servicios y recursos de Amazon EC2 para clústeres EMR_DefaultRole Amazon EMR AmazonEMRServicePolicy_v2
Permitir que Kinesis Kinesis Data Analytics obtenga acceso a los orígenes de datos de streaming kinesis-* Crear un rol con una política de confianza, tal y como se define en el blog de big data de AWS. Consulte el blog de big data de AWS, que define cuatro posibles opciones en función de su caso de uso
Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS DataPipelineDefaultRole Crear un rol con una política de confianza, tal y como se define en la Guía para desarrolladores de AWS Data Pipeline La documentación de AWS Data Pipeline enumera los permisos necesarios para este caso de uso. Consulte roles de IAM para AWS Data Pipeline
Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS DataPipelineDefaultResourceRole Crear un rol con una política de confianza, tal y como se define en la Guía para desarrolladores de AWS Data Pipeline AmazonEC2RoleforDataPipelineRole

Función de trabajo de usuario avanzado desarrollador

Nombre de la política administrada por AWS: PowerUserAccess

Caso de uso: este usuario realiza tareas de desarrollo de aplicaciones y puede crear y configurar recursos y servicios que respalden el desarrollo de aplicaciones compatibles con AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: la primera instrucción de esta política usa el elemento NotAction para permitir todas las acciones para todos los servicios de AWS y para todos los recursos excepto AWS Identity and Access Management y AWS Organizations. La segunda instrucción concede permisos de IAM para crear un rol vinculado al servicio. Esto es necesario en el caso de ciertos servicios que deben tener acceso a recursos de otro servicio, como un bucket de Amazon S3. También concede permisos de Organizations para ver información acerca de la organización del usuario, incluido el correo electrónico de management account y las limitaciones de la organización. Aunque esta política limita el acceso a IAM y Organizations, permite al usuario realizar todas las acciones de AWS SSO si el AWS SSO está habilitado.

Función de trabajo de administrador de red

Nombre de la política administrada por AWS: NetworkAdministrator

Caso de uso: este usuario tiene la tarea de configurar y mantener los recursos de red de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: esta política concede permisos para crear y mantener los recursos de red de Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic Beanstalk, Amazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM y Amazon Virtual Private Cloud.

Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos iam:GetRole y iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de administrador de red
Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse Política administrada por AWS que ha de seleccionarse
Permite que Amazon VPC cree y administre registros en CloudWatch Logs en nombre del usuario para monitorizar el tráfico IP entrante y saliente de la VPC flow-logs-* Crear un rol con una política de confianza, tal y como se define en la Guía del usuario de Amazon VPC Este caso de uso no tiene una política administrada por AWS existente, pero la documentación indica los permisos necesarios. Consulte Guía del usuario de Amazon VPC.

Acceso de solo lectura

Nombre de la política administrada de AWS: ReadOnlyAccess

Caso de uso: Este usuario requiere acceso de solo lectura a todos los recursos de una cuenta de AWS.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: Esta política concede permisos para enumerar, obtener, describir y, de otro modo, ver recursos y sus atributos. No incluye funciones de mutación como crear o eliminar. Esta política incluye el acceso de solo lectura a servicios de AWS relacionados con la seguridad, como AWS Identity and Access Management y AWS Billing and Cost Management. Consulte la política para conocer la lista completa de servicios y acciones que admite esta política.

Función de trabajo de auditor de seguridad

Nombre de la política administrada por AWS: SecurityAudit

Caso de uso: este usuario monitoriza las cuentas para comprobar que cumplan con los requisitos de seguridad. Este usuario puede obtener acceso a los logs y eventos para investigar posibles infracciones de seguridad o actividades malintencionadas.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: esta política concede permisos para ver los datos de configuración de muchos servicios de AWS y revisar sus registros.

Función de trabajo de usuario de soporte

Nombre de la política administrada por AWS: SupportUser

Caso de uso: este usuario se pone en contacto con AWS Support, crea casos de soporte y consulta el estado de los casos existentes.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de política: esta política concede permisos para crear y actualizar casos de AWS.

Función de trabajo de administrador de sistemas

Nombre de la política administrada por AWS: SystemAdministrator

Caso de uso: este usuario configura y mantiene los recursos para realizar operaciones de desarrollo.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: esta política concede permisos para crear y mantener los recursos de una gran variedad de servicios de AWS, entre los que se incluyen AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor y Amazon VPC.

Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos iam:GetRole y iam:PassRole únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte Creación de roles y asociación de políticas (consola) más adelante en este tema.

Roles de servicio de IAM opcionales para la función de administrador de sistemas
Caso de uso Nombre de rol (* es un carácter comodín) Tipo de rol de servicio que ha de seleccionarse Política administrada por AWS que ha de seleccionarse
Permitir que las aplicaciones que se ejecutan en instancias EC2 de un clúster de Amazon ECS obtengan acceso a Amazon ECS ecr-sysadmin-* Rol de Amazon EC2 para EC2 Container Service AmazonEC2ContainerServiceforEC2Role
Permitir a un usuario que monitorice las bases de datos rds-monitoring-role Rol de Amazon RDS para una monitorización mejorada AmazonRDSEnhancedMonitoringRole
Permitir que las aplicaciones que se ejecutan en instancias EC2 obtengan acceso a los recursos de AWS ec2-sysadmin-* Amazon EC2 Ejemplo de política para un rol que concede acceso a un bucket de S3, tal y como se muestra en la Guía del usuario de Amazon EC2 para instancias de Linux; personalizar según sea necesario
Permitir que Lambda lea los flujos de DynamoDB y escriba en registros en CloudWatch lambda-sysadmin-* AWS Lambda AWSLambdaDynamoDBExecutionRole

Función de trabajo de usuario de solo visualización

Nombre de la política administrada por AWS: ViewOnlyAccess

Caso de uso: este usuario puede ver en su cuenta una lista de metadatos básicos y recursos de AWS de todos los servicios. El usuario no puede leer contenido de recursos ni metadatos más allá de la información de cuotas y de listas correspondientes a los recursos.

Actualizaciones de políticas: AWS mantiene y actualiza esta política. Para obtener un historial de cambios de esta política consulte la directiva en la consola de IAM y, a continuación, elija la pestañaVersiones de directiva . Para obtener más información acerca de las actualizaciones de políticas de funciones de trabajo, consulte Actualizaciones a la políticas administradas para funciones de trabajos de AWS.

Descripción de la política: esta política concede permisos de acceso List*, Describe*, Get*, View* y Lookup* a los recursos de la mayoría de servicios de AWS. Para ver qué acciones incluye esta política para cada servicio, consulte ViewOnlyAccess.

Actualizaciones a la políticas administradas para funciones de trabajos de AWS

AWS mantiene todas estas políticas y las actualiza para incluir soporte de nuevos servicios y nuevas funciones a medida que son agregadas por los servicios de AWS. Los clientes no pueden modificar estas políticas. Puede realizar una copia de la política y, a continuación, modificar la copia, pero que no se actualiza automáticamente como copia de AWS introduce nuevos servicios y operaciones del API.

Para una política de función de trabajo, puede ver el historial de versiones y la hora y la fecha de cada actualización en la consola de IAM. Para ello, utilice los enlaces de esta página a fin de consultar los detalles de la política. Luego, elija la pestaña Policy versions (Versiones de política) para ver las versiones. Esta página muestra las últimas 25 versiones de una política. Para ver todas las versiones de una política, llame al comando get-policy-version de la AWS CLI o a la operación de API GetPolicyVersion.

nota

Puede tener hasta cinco versiones de una política administrada por el cliente, pero AWS conserva el historial completo de versiones de las políticas administradas de AWS.