Creación de roles y asociación de políticas (consola) - AWS Identity and Access Management
Ejemplo 1: configuración de un usuario como administrador de base de datos (consola)Ejemplo 2: configuración de un usuario como administrador de red (consola)

Creación de roles y asociación de políticas (consola)

Varias de las políticas indicadas anteriormente hacen que pueda configurar servicios de AWS con roles que les permitan llevar a cabo operaciones por usted. Las políticas de funciones especifican los nombres exactos del rol que debe utilizar o al menos incluyen un prefijo que especifique la primera parte del nombre que puede utilizarse. Para crear uno de estos roles, siga los pasos que se indican en el siguiente procedimiento.

Cómo crear un rol para un Servicio de AWS (consola de IAM)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, elija Crear rol.

  3. En Tipo de entidad de confianza, elija Servicio de AWS.

  4. En Servicio o caso de uso, seleccione un servicio y, a continuación, el caso de uso. Los casos de uso son definidos por el servicio de modo tal que ya incluyen la política de confianza que el servicio mismo requiere.

  5. Seleccione Siguiente.

  6. Para las Políticas de permisos, las opciones dependen del caso de uso que haya seleccionado:

    • Si el servicio define los permisos para el rol, no puede seleccionar políticas de permisos.

    • Seleccione entre un conjunto limitado de políticas de permisos.

    • Seleccione una de todas las políticas de permisos.

    • No seleccione ninguna política de permisos en este momento. Después de crear el rol, genere las políticas y luego asócielas al rol.

  7. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

    1. Abra la sección Configurar límite de permisos y, a continuación, elija Utilizar un límite de permisos para controlar los permisos que puede tener el rol como máximo.

      IAM incluye una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de cada cuenta.

    2. Seleccione la política que desea utilizar para el límite de permisos.

  8. Seleccione Siguiente.

  9. Para Nombre del rol, las opciones varían según el servicio:

    • Si el servicio define el nombre del rol, no podrá editarlo.

    • Si el servicio define un prefijo para el nombre del rol, puede ingresar un sufijo opcional.

    • Si el servicio no define el nombre del rol, podrá nombrarlo usted mismo.

      importante

      Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:

      • Los nombres de rol deben ser únicos dentro de su Cuenta de AWS, y no se pueden hacer únicos mediante mayúsculas y minúsculas.

        Por ejemplo, no puede crear roles denominados tanto PRODROLE como prodrole. Cuando se utiliza un nombre de rol en una política o como parte de un ARN, el nombre de rol distingue entre mayúsculas y minúsculas, sin embargo, cuando un nombre de rol les aparece a los clientes en la consola, como por ejemplo durante el proceso de inicio de sesión, el nombre de rol no distingue entre mayúsculas y minúsculas.

      • Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.

  10. (Opcional) En Descripción, ingrese una descripción para el rol.

  11. (Opcional) Para editar los casos de uso y los permisos de la función, en las secciones Paso 1: Seleccionar entidades confiables o en Paso 2: Agregar permisos, elija Editar.

  12. (Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM en la Guía de usuario de IAM.

  13. Revise el rol y, a continuación, elija Crear rol.

Ejemplo 1: configuración de un usuario como administrador de base de datos (consola)

Este ejemplo muestra los pasos necesarios para establecer a Alice, usuaria de IAM, como Administradora de base de datos. Use la información de la primera fila de la tabla de dicha sección y permita a la usuaria que habilite el monitoreo de Amazon RDS. Debe asociar la política DatabaseAdministrator al usuario de IAM de Alice para que pueda administrar los servicios de base de datos de Amazon. Esta política también permite que Alice transmita un rol denominado rds-monitoring-role al servicio de Amazon RDS que permite al servicio supervisar las bases de datos de Amazon RDS en su nombre.

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Políticas, escriba database en el cuadro de búsqueda y luego pulse Entrar.

  3. Seleccione el botón de radio correspondiente a la política DatabaseAdministrator, luego Acciones y, por último Asociar.

  4. En la lista de entidades, seleccione Alice y, a continuación, Asociar política. A partir de este momento Alice puede administrar las bases de datos de AWS. Sin embargo, debe configurar el rol de servicio para permitir a Alice monitorizar dichas bases de datos.

  5. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, elija Crear rol.

  6. Elija el tipo de función de servicio de AWS y, a continuación, elija Amazon RDS.

  7. Elija el caso de uso Rol de Amazon RDS para el monitoreo mejorado.

  8. Amazon RDS define los permisos de su rol. Elija Siguiente: revisión para continuar.

  9. El nombre del rol debe ser uno de los especificados en la política de DatabaseAdministrator que ahora tiene Alice. Uno de ellos es rds-monitoring-role. Ingréselo en Nombre del rol.

  10. (Opcional) En Descripción del rol, introduzca una descripción para el nuevo rol.

  11. Después de revisar los detalles, elija Crear rol.

  12. Ahora Alice puede activar Monitoreo mejorado de RDS en la sección Monitoreo de la consola de Amazon RDS. Por ejemplo, puede hacerlo al crear una instancia de base de datos, crear una réplica de lectura o modificar una instancia de base de datos. Debe ingresar el nombre del rol creado (rds-monitoring-role) en el cuadro Rol de supervisión al establecer Habilitar supervisión mejorada en .

Ejemplo 2: configuración de un usuario como administrador de red (consola)

Este ejemplo muestra los pasos necesarios para establecer a Jorge, usuario de IAM, como Administrador de red. Se usa la información de la tabla en esa sección para permitir a Jorge supervisar el tráfico IP que va hacia y desde una VPC. También permite a Jorge capturar dicha información en los registros de CloudWatch. Debe asociar la política NetworkAdministrator al usuario de IAM de Jorge para que pueda configurar los recursos de red de AWS. Esta política también permite a Jorge transmitir un rol cuyo nombre comience por flow-logs* a Amazon EC2 al crear un registro de flujo. En este caso, a diferencia del ejemplo 1, no existe un tipo de rol de servicio predefinido, de modo que debe realizar algunos pasos de forma distinta.

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Políticas y, a continuación, ingrese network en el cuadro de búsqueda y pulse Entrar.

  3. Seleccione el botón de radio situado junto a la política NetworkAdministrator, luego Acciones y, por último, Asociar.

  4. En la lista de usuarios, seleccione la casilla de verificación junto a Jorge y, a continuación, elija Asociar política. Jorge puede administrar ahora los recursos de red de AWS. Sin embargo, debe configurar el rol de servicio para permitir la monitorización del tráfico IP de la VPC.

  5. Dado que el rol de servicio que necesita crear no tiene una política administrada predefinida, primero debe crearla. En el panel de navegación, seleccione Políticas y, a continuación, elija Crear política.

  6. En la sección Editor de políticas, seleccione la opción JSON y copie el texto del siguiente documento de política de JSON. Pegue el texto en el cuadro de texto JSON. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Resuelva las advertencias de seguridad, errores o advertencias generales generadas durante la validación de política y luego elija Siguiente.

    nota

    Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas.

  8. En la página Revisar y crear, escriba vpc-flow-logs-policy-for-service-role como nombre de la política. Revise los Permisos definidos en esta política para ver los permisos que concede la política y, a continuación, seleccione Crear política para guardar su trabajo.

    La nueva política aparece en la lista de las políticas administradas y está lista para asociar.

  9. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, elija Crear rol.

  10. Seleccione el tipo de rol Servicio de AWS y luego elija Amazon EC2.

  11. Elija el caso de uso Amazon EC2

  12. En la página Asociar políticas de permisos, seleccione la política que ha creado anteriormente, vpc-flow-logs-policy-for-service-role, a continuación, elija Siguiente: revisión.

  13. El nombre del rol debe estar permitido por la política de NetworkAdministrator que Jorge tiene ahora. Los nombres que comiencen por flow-logs- están permitidos. En este ejemplo, ingrese flow-logs-for-jorge como Nombre de rol.

  14. (Opcional) En Descripción del rol, introduzca una descripción para el nuevo rol.

  15. Después de revisar los detalles, elija Crear rol.

  16. Ahora puede configurar la política de confianza necesaria para este caso. En la página Roles, seleccione el rol flow-logs-for-jorge (el nombre, no la casilla de verificación). En la página de detalles del nuevo rol, elija la pestaña Relaciones de confianza y, a continuación, elija Editar relación de confianza.

  17. Cambie la línea de "Service" para que se lea como sigue, sustituyendo la entrada por ec2.amazonaws.com:

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge ahora puede crear registros de flujo para una VPC o subred en la consola de Amazon EC2. Al crear el registro de flujo, especifique el rol flow-logs-for-jorge. Este rol tiene los permisos para crear el log y escribir datos en él.