Adición y eliminación de permisos de identidad de IAM - AWS Identity and Access Management

Adición y eliminación de permisos de identidad de IAM

Puede usar políticas para definir los permisos para una identidad (usuario, grupo de usuarios o rol). Puede agregar y eliminar permisos asociando y desasociando políticas de IAMpara una identidad que utilice la AWS Management Console, AWS Command Line Interface (AWS CLI) o la API de AWS. También puede utilizar políticas para establecer límites de permisos únicamente para entidades (usuarios y roles) utilizando los mismos métodos. Los límites de permisos son una función avanzada de AWS que controla los permisos que puede tener una entidad como máximo.

Terminología

Cuando asocia políticas de permisos a identidades (usuarios, grupos de usuarios y roles), la terminología y los procedimientos varían en función de si está trabajando con una política administrada o insertada:

  • Asociar – Se utiliza con políticas administradas. Asocie una política administrada a una identidad (usuario, grupo de usuarios o rol). La conexión de una política aplica los permisos en la política a la identidad.

  • Desasociar – Se utiliza con políticas administradas. Desconecte una política administrada de una identidad de IAM (usuario, grupo de usuarios o rol). Al desvincular una política se quitan sus permisos de la identidad.

  • Integrar – Se utiliza con políticas insertadas. Integre una política insertada en una identidad (usuario, grupo de usuarios o rol). La integración de una política aplica los permisos en la política a la identidad. Dado que una política en línea se almacena en la identidad, se incrusta en lugar de conectarse, aunque el resultado es similar.

    nota

    Puede integrar una política insertada de un rol vinculado a un servicio solo en el servicio que depende del rol. Consulte la documentación de AWS de su servicio para saber si es compatible con esta característica.

  • Eliminar – Se utiliza con políticas insertadas. Elimine una política insertada de una identidad de IAM (usuario, grupo de usuarios o rol). Al eliminar una política se quitan sus permisos de la identidad.

    nota

    Puede eliminar una política insertada de un rol vinculado a un servicio solo en el servicio que depende del rol. Consulte la documentación de AWS de su servicio para saber si es compatible con esta característica.

Puede utilizar la consola, la AWS CLI o la API de AWS para realizar cualquiera de estas acciones.

Más información

Ver actividad de la identidad

Antes de cambiar los permisos de una entidad (usuario, grupo de usuarios o rol), debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte Perfeccionar los permisos en AWS con la información sobre los últimos accesos.

Adición de permisos de identidad de IAM (consola)

Puede usar la AWS Management Console para agregar permisos a una identidad (usuario, grupo de usuarios o rol). Para ello, asocie las políticas administradas que controlan los permisos o especifique una política que sirva como límite de permisos. También puede integrar una política insertada.

Para utilizar una política administrada como una política de permisos para una entidad (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, seleccione la casilla de verificación junto al nombre de la política que desea asociar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. Seleccione Policy actions y, a continuación, Attach.

  5. Seleccione una o más identidades a las que asociar la política. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar las identidades, elija Attach policy (Asociar política).

Para utilizar una política administrada para configurar un límite de permisos (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. En la página de resumen de la política, elija la pestaña Policy usage (Uso de la política) y, a continuación, si es necesario, abra la sección Permissions boundaries (Límites de permisos) y elija Set boundary (Configurar límite).

  5. Seleccione uno o varios usuarios o roles en los que va a utilizar la política para un límite de permisos. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar las entidades principales, elija Set boundaries (Configurar límites).

Para integrar una política en línea de un usuario o un rol (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users (Usuarios) o Roles.

  3. En la lista, seleccione el nombre del usuario o rol en el que integrará una política.

  4. Elija la pestaña Permissions (Permisos).

  5. Elija Add inline policy.

    nota

    No puede integrar una política insertada en un rol vinculado a un servicio en IAM. Dado que el servicio vinculado define si puede modificar los permisos del rol, podría añadir las políticas adicionales del servicio desde la consola, la API o la AWS CLI. Para consultar la documentación relacionada con los roles vinculados a dicho servicio, visite Servicios de AWS que funcionan con IAM y elija Yes (Sí) en la columna Service-Linked Role (Rol vinculado al servicio) del servicio.

  6. Seleccione entre los siguientes métodos para ver los pasos necesarios para crear su política:

  7. Después de crear una política en línea, se integra automáticamente en su usuario o rol.

Para integrar una política insertada para un grupo de usuarios (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija User groups (Grupos de usuarios).

  3. En la lista, seleccione el nombre del grupo de usuarios en el que integrará una política.

  4. Elija la pestaña Permissions (Permisos), elija Add permissions (Agregar permisos) y, a continuación, elija Create inline policy (Crear política insertada).

  5. Aplique alguna de las siguientes acciones:

  6. Cuando esté satisfecho con la política, elija Create policy (Crear política).

Para cambiar el límite de permisos para una o varias entidades (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. En la página de resumen de la política, elija la pestaña Policy usage (Uso de la política) y, a continuación, si es necesario, abra la sección Permissions boundaries (Límites de permisos). Seleccione la casilla situada junto a los usuarios o los roles cuyos límites que desea cambiar y, a continuación, elija Change boundary (Cambiar límite).

  5. Seleccione la política nueva que desea utilizar para un límite de permisos. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas. Después de seleccionar la política, elija Change boundary (Cambiar límite).

Eliminación de permisos de identidad de IAM (consola)

Puede usar la AWS Management Console para eliminar permisos de una identidad (usuario, grupo de usuarios o rol). Para ello, desasocie las políticas administradas que controlan los permisos o elimine la política aplicada como límite de permisos. También puede eliminar una política insertada.

Para desasociar una política administrada utilizada como política de permisos (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, seleccione la casilla de verificación junto al nombre de la política que desea desasociar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. Seleccione Policy actions (Acciones de política) y, a continuación, Detach (Desasociar).

  5. Seleccione las entidades de las que desasociar la política. Puede utilizar el menú Filter (Filtro) y el cuadro de búsqueda para filtrar la lista de identidades. Después de seleccionar las identidades, elija Detach policy (Desasociar política).

Para eliminar un límite de permisos (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. En la página de resumen de la política, elija la pestaña Policy usage (Uso de la política) y, a continuación, si es necesario, abra la sección Permissions boundaries (Límites de permisos) y elija Remove boundary (Eliminar límite).

  5. Confirme que desea eliminar el límite y elija Remove (Eliminar).

Para eliminar una política en línea (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija User groups (Grupos de usuarios), Users (Usuarios) o Roles (Roles).

  3. En la lista, elija el nombre del grupo de usuarios, usuario o rol que tiene la política que desea eliminar.

  4. Elija la pestaña Permissions.

  5. Si está en User groups (Grupos de usuarios), seleccione la casilla de verificación situada junto a la política y elija Remove (Eliminar). Si está en Users (Usuarios) o Roles, elija X.

Adición de políticas de IAM (AWS CLI)

Puede usar la AWS CLI para agregar permisos a una identidad (usuario, grupo de usuarios o rol). Para ello, asocie las políticas administradas que controlan los permisos o especifique una política que sirva como límite de permisos. También puede integrar una política insertada.

Para utilizar una política administrada como una política de permisos para una entidad (AWS CLI)

  1. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:

    • Para ver una lista de las políticas administradas: aws iam list-policies

    • Para recuperar información detallada sobre una política administrada: get-policy

  2. Para asociar una política administrada a una identidad (usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:

Para utilizar una política administrada para configurar un límite de permisos (AWS CLI)

  1. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:

  2. Para utilizar una política administrada para establecer el límite de permisos para una entidad (un usuario o un rol), utilice uno de los comandos siguientes:

Para integrar una política insertada (AWS CLI)

Para integrar una política insertada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:

Eliminación de políticas de IAM (AWS CLI)

Puede utilizar la AWS CLI para desasociar las políticas administradas que controlan los permisos, o eliminar la política aplicada como límite de permisos. También puede eliminar una política insertada.

Para desasociar una política administrada utilizada como política de permisos (AWS CLI)

  1. (Opcional) Para ver información de topología sobre una política, ejecute los siguientes comandos:

  2. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, ejecute los siguientes comandos:

  3. Para desconectar una política administrada de una identidad (usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:

Para eliminar un límite de permisos (AWS CLI)

  1. (Opcional) Para ver qué política administrada se está utilizando actualmente para establecer el límite de permisos para un usuario o un rol, ejecute los comandos siguientes:

  2. (Opcional) Para ver con qué usuarios o roles se está utilizando una política administrada para un límite de permisos, ejecute el comando siguiente:

  3. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:

  4. Para eliminar un límite de permisos de un usuario o un rol, utilice uno de los comandos siguientes:

Para eliminar una política en línea (AWS CLI)

  1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:

  2. (Opcional) Para recuperar el documento de una política insertada que está integrado en una identidad (usuario, grupo de usuarios o rol), utilice uno de los siguientes comandos:

  3. Para eliminar una política insertada de una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:

Adición de políticas de IAM (API de AWS)

Puede utilizar la API de AWS para asociar las políticas administradas que controlan los permisos o especificar una política que sirva como límite de permisos. También puede integrar una política insertada.

Para utilizar una política administrada como una política de permisos para una entidad (API de AWS)

  1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones:

    • Para enumerar las políticas administradas: ListPolicies

    • Para recuperar información detallada sobre una política administrada: GetPolicy

  2. Para asociar una política administrada a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:

Para utilizar una política administrada para configurar un límite de permisos (API de AWS)

  1. (Opcional) Para ver información sobre una política administrada, llame a las siguientes operaciones:

    • Para enumerar las políticas administradas: ListPolicies

    • Para recuperar información detallada sobre una política administrada: GetPolicy

  2. Para utilizar una política administrada para establecer el límite de permisos para una entidad (usuario o rol), llame a una de las operaciones siguientes:

Para integrar una política insertada (API de AWS)

Para integrar una política insertada en una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones:

Eliminación de políticas de IAM (API de AWS)

Puede utilizar la API de AWS para desasociar las políticas administradas que controlan los permisos, o eliminar la política aplicada como límite de permisos. También puede eliminar una política insertada.

Para desasociar una política administrada utilizada como política de permisos (API de AWS)

  1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones:

    • Para enumerar las políticas administradas: ListPolicies

    • Para recuperar información detallada sobre una política administrada: GetPolicy

  2. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, llame a las siguientes operaciones:

  3. Para desconectar una política administrada de una identidad (usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:

Para eliminar un límite de permisos (API de AWS)

  1. (Opcional) Para ver qué política administrada se está utilizando actualmente para establecer el límite de permisos para un usuario o un rol, llame a las operaciones siguientes:

  2. (Opcional) Para ver con qué usuarios o roles se está utilizando una política administrada para un límite de permisos, llame a la operación siguiente:

  3. (Opcional) Para ver información sobre una política administrada, llame a las siguientes operaciones:

    • Para enumerar las políticas administradas: ListPolicies

    • Para recuperar información detallada sobre una política administrada: GetPolicy

  4. Para eliminar un límite de permisos de un usuario o un rol, llame a una de las operaciones siguientes:

Para eliminar una política en línea (API de AWS)

  1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (un usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:

  2. (Opcional) Para recuperar el documento de una política insertada que está integrada en una identidad (usuario, grupo de usuarios o rol), llame a una de las siguientes operaciones:

  3. Para eliminar una política insertada de una identidad (usuario, grupo de usuarios o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones: