Adición y eliminación de permisos de identidad de IAM

Puede utilizar políticas para definir los permisos para una identidad (usuario, grupo de usuarios o rol). Puede agregar y eliminar permisos asociando y desasociando políticas de IAM para una identidad que utilice la AWS Management Console, AWS Command Line Interface (AWS CLI) o la API de AWS. También puede utilizar las políticas para establecer los límites de los permisos solo para las entidades (usuarios o roles) que están utilizando los mismos métodos. Los límites de permisos son una función avanzada de AWS que controla los permisos que puede tener una entidad como máximo.

Terminología

Al asociar políticas de permisos a identidades (usuarios, grupos de usuarios y roles), la terminología y los procedimientos varían en función de si está trabajando con una política administrada o insertada:

• Asociar – Se utiliza con políticas administradas. Asocie una política administrada a una identidad (usuario, grupo de usuarios o rol). La conexión de una política aplica los permisos en la política a la identidad.

• Desasociar – Se utiliza con políticas administradas. Desvincula una política administrada de una identidad de IAM (usuario, grupo de usuarios o rol). Al desvincular una política se quitan sus permisos de la identidad.

• Integrar – Se utiliza con políticas insertadas. Integre una política insertada en una identidad (usuario, grupo de usuarios o rol). La integración de una política aplica los permisos en la política a la identidad. Dado que una política insertada se almacena en la identidad, se incrusta en lugar de conectarse, aunque el resultado es similar.

  nota

  Puede integrar una política insertada de un rol vinculado a un servicio solo en el servicio que depende del rol. Consulte la documentación de AWS de su servicio para saber si es compatible con esta característica.

• Eliminar – Se utiliza con políticas insertadas. Elimina una política insertada de una identidad de IAM (usuario, grupo de usuarios o rol). Al eliminar una política se quitan sus permisos de la identidad.

  nota

  Puede eliminar una política insertada de un rol vinculado a un servicio solo en el servicio que depende del rol. Consulte la documentación de AWS de su servicio para saber si es compatible con esta característica.

Puede utilizar la consola, la AWS CLI o la API de AWS para realizar cualquiera de estas acciones.

Más información

• Para obtener más información acerca de la diferencia entre las políticas administradas e insertadas, consulte Políticas administradas y políticas insertadas.

• Para obtener más información sobre los límites de permisos, consulte Límites de permisos para las entidades de IAM.

• Para obtener información general sobre las políticas de IAM, consulte Políticas y permisos en IAM.

• Para obtener información sobre validar las políticas de IAM, consulte Validación de políticas de IAM.

• El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS.

Ver actividad de la identidad

Antes de cambiar los permisos de una identidad (usuario, grupo de usuarios o rol), debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte Perfeccionar los permisos con la información sobre los últimos accesos en AWS.

Adición de permisos de identidad de IAM (consola)

Puede utilizar la AWS Management Console para agregar permisos a una identidad (usuario, grupo de usuarios o rol). Para ello, asocie las políticas administradas que controlan los permisos o especifique una política que sirva como límite de permisos. También puede integrar una política insertada.

Para utilizar una política administrada como una política de permisos para una entidad (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Policies (Políticas).

3. En la lista de políticas, seleccione el botón de radio situado junto al nombre de la política que desee asociar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

4. Elija Acciones y, a continuación, elija Adjuntar.

5. Seleccione una o más identidades a las que asociar la política. Puede utilizar el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar las identidades, elija Attach policy (Asociar política).

Para utilizar una política administrada para configurar un límite de permisos (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Policies (Políticas).

3. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

4. En la página de detalles de la política, seleccione la pestaña Entidades asociadas y, a continuación, si es necesario, abra la sección Asociadas como límites de permisos y seleccione Configurar esta política como límite de permisos.

5. Seleccione uno o varios usuarios o roles en los que va a utilizar la política para un límite de permisos. Puede utilizar el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar las entidades principales, seleccione Configurar límite de permisos.

Para integrar una política insertada de un usuario o un rol (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Users (Usuarios) o Roles.

3. En la lista, seleccione el nombre del usuario o rol en el que integrará una política.

4. Elija la pestaña Permissions (Permisos).

5. Seleccione Agregar permisos y, a continuación, Crear política insertada.

   nota

   No puede incrustar una política insertada en un rol vinculado a un servicio en IAM. Dado que el servicio vinculado define si puede modificar los permisos del rol, podría añadir las políticas adicionales del servicio desde la consola, la API o la AWS CLI. Para consultar la documentación relacionada con los roles vinculados a dicho servicio, visite Servicios de AWS que funcionan con IAM y elija Yes (Sí) en la columna Service-Linked Role (Rol vinculado al servicio) del servicio.

6. Seleccione entre los siguientes métodos para ver los pasos necesarios para crear su política:

   • Importación de políticas administradas existentes - Puede importar una política administrada en la cuenta y, a continuación, editar la política para personalizarla a sus requisitos específicos. Una política administrada puede ser una política administrada por AWS o una política administrada por el cliente que haya creado anteriormente.

   • Creación de políticas con el editor visual - Puede construir una nueva política desde cero en el editor visual. Si utiliza el editor visual, no tiene que conocer la sintaxis JSON.

   • Creación de políticas mediante el editor JSON: en la opción JSON del editor, puede crear una política utilizando sintaxis JSON. Puede escribir un nuevo documento de política de JSON o pegar un ejemplo de política.

7. Después de crear una política insertada, se integra automáticamente en su usuario o rol.

Para integrar una política insertada para un grupo de usuarios (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, elija User groups (Grupos de usuarios).

3. En la lista, seleccione el nombre del grupo de usuarios en el que integrará una política.

4. Elija la pestaña de Permisos, elija Agregar permisos y luego Crear política insertada.

5. Haga una de las siguientes acciones:

   • Seleccione la opción Visual para crear la política. Para obtener más información, consulte Creación de políticas con el editor visual.

   • Seleccione la opción JSON para crear la política. Para obtener más información, consulte Creación de políticas mediante el editor JSON.

6. Cuando esté satisfecho con la política, elija Create policy (Crear política).

Para cambiar el límite de permisos para una o varias entidades (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Policies (Políticas).

3. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

4. En la página de detalles de la política, seleccione la pestaña Entidades asociadas y, a continuación, si es necesario, abra la sección Asociadas como límite de permisos. Seleccione la casilla de verificación situada junto a los usuarios o roles cuyos límites desee cambiar y, a continuación, seleccione Cambiar.

5. Seleccione la política nueva que desea utilizar para un límite de permisos. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas. Después de seleccionar la política, seleccione Configurar límite de permisos.

Eliminación de permisos de identidad de IAM (consola)

Puede utilizar la AWS Management Console para eliminar permisos de una identidad (usuario, grupo de usuarios o rol). Para ello, desasocie las políticas administradas que controlan los permisos o elimine la política aplicada como límite de permisos. También puede eliminar una política insertada.

Para desasociar una política administrada utilizada como política de permisos (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Policies (Políticas).

3. En la lista de políticas, seleccione el botón de radio situado junto al nombre de la política que desee desasociar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

4. Elija Acciones y a continuación seleccione Desconectar.

5. Seleccione las entidades de las que desasociar la política. Puede utilizar el cuadro de búsqueda para filtrar la lista de identidades. Después de seleccionar las identidades, elija Detach policy (Desasociar política).

Para eliminar un límite de permisos (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Policies (Políticas).

3. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el cuadro de búsqueda para filtrar la lista de políticas.

4. En la página de resumen de la política, seleccione la pestaña Entidades asociadas y, a continuación, si es necesario, abra la sección Asociadas como límite de permisos y seleccione las entidades de las que desee eliminar el límite de permisos. Después, seleccione Eliminar límite.

5. Confirme que desea eliminar el límite y seleccione Eliminar límite.

Para eliminar una política insertada (consola)

1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, elija Grupos de usuarios, Usuarios o Roles.

3. En la lista, elija el nombre del grupo de usuarios, usuario o rol que tiene la política que desea quitar.

4. Elija la pestaña Permissions (Permisos).

5. Seleccione la casilla de verificación situada junto a la política, y luego Eliminar.

6. Seleccione Eliminar en el cuadro de confirmación.

Agregar políticas de IAM (AWS CLI)

Puede utilizar la AWS CLI para agregar permisos a una identidad (usuario, grupo de usuarios o rol). Para ello, asocie las políticas administradas que controlan los permisos o especifique una política que sirva como límite de permisos. También puede integrar una política insertada.

Para utilizar una política administrada como una política de permisos para una entidad (AWS CLI)

1. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:

   • Para ver una lista de las políticas administradas: aws iam list-policies

   • Para recuperar información detallada sobre una política administrada: get-policy

2. Para asociar una política administrada a una identidad (un usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:

   • aws iam attach-user-policy

   • aws iam attach-group-policy

   • aws iam attach-role-policy

Para utilizar una política administrada para configurar un límite de permisos (AWS CLI)

1. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:

   • Para ver una lista de las políticas administradas: aws iam list-policies

   • Para recuperar información detallada sobre una política administrada: aws iam get-policy

2. Para utilizar una política administrada para establecer el límite de permisos para una entidad (un usuario o un rol), utilice uno de los comandos siguientes:

   • aws iam put-user-permissions-boundary

   • aws iam put-role-permissions-boundary

Para integrar una política insertada (AWS CLI)

Para integrar una política insertada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:

• aws iam put-user-policy

• aws iam put-group-policy

• aws iam put-role-policy

Eliminación de políticas de IAM (AWS CLI)

Puede utilizar la AWS CLI para desasociar las políticas administradas que controlan los permisos, o eliminar la política aplicada como límite de permisos. También puede eliminar una política insertada.

Para desasociar una política administrada utilizada como política de permisos (AWS CLI)

1. (Opcional) Para ver información de topología sobre una política, ejecute los siguientes comandos:

   • Para ver una lista de las políticas administradas: aws iam list-policies

   • Para recuperar información detallada sobre una política administrada: aws iam get-policy

2. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, ejecute los siguientes comandos:

   • Para enumerar las identidades (usuarios, grupos de usuarios y roles) a los que está asociada una política administrada:

     • aws iam list-entities-for-policy

   • Para enumerar las políticas administradas asociadas a una identidad (un usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:

     • aws iam list-attached-user-policies

     • aws iam list-attached-group-policies

     • aws iam list-attached-role-policies

3. Para desasociar una política administrada de una identidad (un usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:

   • aws iam detach-user-policy

   • aws iam detach-group-policy

   • aws iam detach-role-policy

Para eliminar un límite de permisos (AWS CLI)

1. (Opcional) Para ver qué política administrada se está utilizando actualmente para establecer el límite de permisos para un usuario o un rol, ejecute los comandos siguientes:

   • aws iam get-user

   • aws iam get-role

2. (Opcional) Para ver con qué usuarios o roles se está utilizando una política administrada para un límite de permisos, ejecute el comando siguiente:

   • aws iam list-entities-for-policy

3. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:

   • Para ver una lista de las políticas administradas: aws iam list-policies

   • Para recuperar información detallada sobre una política administrada: aws iam get-policy

4. Para eliminar un límite de permisos de un usuario o un rol, utilice uno de los comandos siguientes:

   • aws iam delete-user-permissions-boundary

   • aws iam delete-role-permissions-boundary

Para eliminar una política insertada (AWS CLI)

1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (un usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:

   • aws iam list-user-policies

   • aws iam list-group-policies

   • aws iam list-role-policies

2. (Opcional) Para recuperar un documento de política insertada integrada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:

   • aws iam get-user-policy

   • aws iam get-group-policy

   • aws iam get-role-policy

3. Para eliminar una política insertada de una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:

   • aws iam delete-user-policy

   • aws iam delete-group-policy

   • aws iam delete-role-policy

Adición de políticas de IAM (API de AWS)

Puede utilizar la API de AWS para asociar las políticas administradas que controlan los permisos o especificar una política que sirva como límite de permisos. También puede integrar una política insertada.

Para utilizar una política administrada como una política de permisos para una entidad (API de AWS)

1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones:

   • Para enumerar las políticas administradas: ListPolicies

   • Para recuperar información detallada sobre una política administrada: GetPolicy

2. Para asociar una política administrada a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:

   • AttachUserPolicy

   • AttachGroupPolicy

   • AttachRolePolicy

Para utilizar una política administrada para configurar un límite de permisos (API de AWS)

1. (Opcional) Para ver información sobre una política administrada, llame a las siguientes operaciones:

   • Para enumerar las políticas administradas: ListPolicies

   • Para recuperar información detallada sobre una política administrada: GetPolicy

2. Para utilizar una política administrada para establecer el límite de permisos para una entidad (usuario o rol), llame a una de las operaciones siguientes:

   • PutUserPermissionsBoundary

   • PutRolePermissionsBoundary

Para integrar una política insertada (API de AWS)

Para integrar una política insertada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones:

• PutUserPolicy

• PutGroupPolicy

• PutRolePolicy

Eliminación de políticas de IAM (API de AWS)

Puede utilizar la API de AWS para desasociar las políticas administradas que controlan los permisos, o eliminar la política aplicada como límite de permisos. También puede eliminar una política insertada.

Para desasociar una política administrada utilizada como política de permisos (API de AWS)

1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones:

   • Para enumerar las políticas administradas: ListPolicies

   • Para recuperar información detallada sobre una política administrada: GetPolicy

2. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, llame a las siguientes operaciones:

   • Para enumerar las identidades (usuarios, grupos de usuarios y roles) a los que está asociada una política administrada:

     • ListEntitiesForPolicy

   • Para enumerar las políticas administradas asociadas a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:

     • ListAttachedUserPolicies

     • ListAttachedGroupPolicies

     • ListAttachedRolePolicies

3. Para desasociar una política administrada de una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:

   • DetachUserPolicy

   • DetachGroupPolicy

   • DetachRolePolicy

Para eliminar un límite de permisos (API de AWS)

1. (Opcional) Para ver qué política administrada se está utilizando actualmente para establecer el límite de permisos para un usuario o un rol, llame a las operaciones siguientes:

   • GetUser

   • GetRole

2. (Opcional) Para ver con qué usuarios o roles se está utilizando una política administrada para un límite de permisos, llame a la operación siguiente:

   • ListEntitiesForPolicy

3. (Opcional) Para ver información sobre una política administrada, llame a las siguientes operaciones:

   • Para enumerar las políticas administradas: ListPolicies

   • Para recuperar información detallada sobre una política administrada: GetPolicy

4. Para eliminar un límite de permisos de un usuario o un rol, llame a una de las operaciones siguientes:

   • DeleteUserPermissionsBoundary

   • DeleteRolePermissionsBoundary

Para eliminar una política insertada (API de AWS)

1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:

   • ListUserPolicies

   • ListGroupPolicies

   • ListRolePolicies

2. (Opcional) Para recuperar un documento de política insertada integrada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones:

   • GetUserPolicy

   • GetGroupPolicy

   • GetRolePolicy

3. Para eliminar una política insertada de una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones:

   • DeleteUserPolicy

   • DeleteGroupPolicy

   • DeleteRolePolicy