AWS Identity and Access Management
Guía del usuario

Adición y eliminación de permisos de identidad de IAM

Puede usar políticas para definir los permisos para una identidad (usuario, grupo o rol). Puede agregar y eliminar permisos asociando y desasociando políticas de IAMpara una identidad que utilice la Consola de administración de AWS, AWS Command Line Interface (AWS CLI) o la API de AWS. También puede utilizar políticas para establecer límites de permisos únicamente para entidades (usuarios y roles) utilizando los mismos métodos. Los límites de permisos son una función avanzada de AWS que controla los permisos que puede tener una entidad como máximo.

Terminología

Al asociar políticas de permisos a identidades (usuarios, grupos y roles), la terminología y los procedimientos varían en función de si está trabajando con una política administrada o insertada:

  • Asociar – Se utiliza con políticas administradas. Asocie una política administrada a una identidad (usuario, grupo o rol). La conexión de una política aplica los permisos en la política a la identidad.

  • Desasociar – Se utiliza con políticas administradas. Desasocia una política administrada de una entidad (usuario, grupo o rol). Al separar una política se quitan sus permisos de la entidad principal.

  • Integrar – Se utiliza con políticas insertadas. Integre una política insertada en una identidad (usuario, grupo o rol). La integración de una política aplica los permisos en la política a la identidad. Dado que una política en línea se almacena en la identidad, se incrusta en lugar de conectarse, aunque el resultado es similar.

    nota

    Puede integrar una política insertada de un rol vinculado a un servicio solo en el servicio que depende del rol. Consulte la documentación de AWS de su servicio para saber si es compatible con esta característica.

  • Eliminar – Se utiliza con políticas insertadas. Elimine una política insertada de una entidad (usuario, grupo o rol). Al eliminar una política se quitan sus permisos de la entidad principal.

    nota

    Puede eliminar una política insertada de un rol vinculado a un servicio solo en el servicio que depende del rol. Consulte la documentación de AWS de su servicio para saber si es compatible con esta característica.

Puede utilizar la consola, la AWS CLI o la API de AWS para realizar cualquiera de estas acciones.

Más información

Ver actividad de la identidad

Antes de cambiar los permisos de una entidad (usuario, grupo o rol), debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información sobre la visualización de los datos de la última vez que se accedió al servicio, consulte Refinado de permisos con datos de los últimos servicios a los que se ha accedido.

Adición de permisos de identidad de IAM (consola)

Puede usar la Consola de administración de AWS para añadir permisos a una identidad (usuario, grupo o rol). Para ello, asocie las políticas administradas que controlan los permisos o especifique una política que sirva como límite de permisos. También puede integrar una política insertada.

Para utilizar una política administrada como una política de permisos para una entidad (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, seleccione la casilla de verificación junto al nombre de la política que desea asociar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. Seleccione Policy actions y, a continuación, Attach.

  5. Seleccione una o más identidades a las que asociar la política. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar las identidades, elija Attach policy (Asociar política).

Para utilizar una política administrada para configurar un límite de permisos (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. En la página de resumen de la política, elija la pestaña Policy usage (Uso de la política) y, a continuación, si es necesario, abra la sección Permissions boundaries (Límites de permisos) y elija Set boundary (Configurar límite).

  5. Seleccione uno o varios usuarios o roles en los que va a utilizar la política para un límite de permisos. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista entidades principales. Después de seleccionar las entidades principales, elija Set boundaries (Configurar límites).

Para integrar una política en línea de un usuario o un rol (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Users (Usuarios) o Roles.

  3. En la lista, seleccione el nombre del usuario o rol en el que integrará una política.

  4. Elija la pestaña Permissions.

  5. Desplácese a la parte inferior de la página y seleccione Add inline policy (Añadir política insertada).

    nota

    No puede integrar una política insertada en un rol vinculado a un servicio en IAM. Dado que el servicio vinculado define si puede modificar los permisos del rol, podría añadir las políticas adicionales del servicio desde la consola, la API o la AWS CLI. Para consultar la documentación relacionada con los roles vinculados a dicho servicio, visite Servicios de AWS que funcionan con IAM y elija Yes (Sí) en la columna Service-Linked Role (Rol vinculado al servicio) del servicio.

  6. Seleccione entre los siguientes métodos para ver los pasos necesarios para crear su política:

  7. Después de crear una política en línea, se integra automáticamente en su usuario o rol.

Para integrar una política en línea para un grupo (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Groups.

  3. En la lista, seleccione el nombre del grupo en el que integrará una política.

  4. Elija la pestaña Permissions (Permisos) y, a continuación, expanda la sección Inline Policies (Políticas insertada) si fuera necesario.

  5. Seleccione Create Group Policy (Crear política de grupo). Si no hay políticas en Groups (Grupos), elija en su lugar click here (haga clic aquí) para crear su primera política insertada.

  6. Seleccione Policy Generator (Generador de políticas) o Custom Policy (Política personalizada) y, a continuación, elija Select (Seleccionar).

  7. Aplique alguna de las siguientes acciones:

    • Si elige Custom Policy (Política personalizada), especifique un nombre para la política y cree el documento de la política. El validador de políticas notifica los errores de sintaxis.

    • Si utiliza el generador de políticas para crear la política, elija las opciones Effect (Efecto), AWS Service (Servicio de AWS) y Actions (Acciones) adecuadas. Escriba el nombre de recurso de Amazon (ARN) (si procede) y añada todas las condiciones que quiera incluir. A continuación, elija Add Statement (Añadir instrucción). Puede añadir tantas declaraciones como quiera en la política. Cuando haya terminado de agregar instrucciones, elija Next Step (Siguiente paso).

  8. Cuando esté satisfecho con la política, elija Apply Policy.

Para cambiar el límite de permisos para una o varias entidades (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. En la página de resumen de la política, elija la pestaña Policy usage (Uso de la política) y, a continuación, si es necesario, abra la sección Permissions boundaries (Límites de permisos). Seleccione la casilla situada junto a los usuarios o los roles cuyos límites que desea cambiar y, a continuación, elija Change boundary (Cambiar límite).

  5. Seleccione la política nueva que desea utilizar para un límite de permisos. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas. Después de seleccionar la política, elija Change boundary (Cambiar límite).

Eliminación de permisos de identidad de IAM (consola)

Puede usar la Consola de administración de AWS para eliminar permisos de una identidad (usuario, grupo o rol). Para ello, desasocie las políticas administradas que controlan los permisos o elimine la política aplicada como límite de permisos. También puede eliminar una política insertada.

Para desasociar una política administrada utilizada como política de permisos (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, seleccione la casilla de verificación junto al nombre de la política que desea desasociar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. Seleccione Policy actions (Acciones de política) y, a continuación, Detach (Desasociar).

  5. Seleccione las entidades de las que desasociar la política. Puede utilizar el menú Filter (Filtro) y el cuadro de búsqueda para filtrar la lista de identidades. Después de seleccionar las identidades, elija Detach policy (Desasociar política).

Para eliminar un límite de permisos (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, elija el nombre de la política que desea configurar. Puede utilizar el menú Filter y el cuadro de búsqueda para filtrar la lista de políticas.

  4. En la página de resumen de la política, elija la pestaña Policy usage (Uso de la política) y, a continuación, si es necesario, abra la sección Permissions boundaries (Límites de permisos) y elija Remove boundary (Eliminar límite).

  5. Confirme que desea eliminar el límite y elija Remove (Eliminar).

Para eliminar una política en línea (consola)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Groups (Grupos), Users (Usuarios) o Roles.

  3. En la lista, elija el nombre del grupo, usuario o rol que tiene la política que desea quitar.

  4. Elija la pestaña Permissions. Si elige Groups (Grupos), amplíe la sección Inline Policies (Políticas insertadas) de ser necesario.

  5. Si está en Groups (Grupos), elija Remove Policy (Eliminar política). Si está en Users (Usuarios) o Roles, elija X.

Adición de políticas de IAM (AWS CLI)

Puede usar la AWS CLI para añadir permisos a una identidad (usuario, grupo o rol). Para ello, asocie las políticas administradas que controlan los permisos o especifique una política que sirva como límite de permisos. También puede integrar una política insertada.

Para utilizar una política administrada como una política de permisos para una entidad (AWS CLI)

  1. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:

    • Para ver una lista de las políticas administradas: aws iam list-policies

    • Para recuperar información detallada sobre una política administrada: get-policy

  2. Para asociar una política administrada a una identidad (un usuario, grupo o rol), utilice uno de los siguientes comandos:

Para utilizar una política administrada para configurar un límite de permisos (AWS CLI)

  1. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:

  2. Para utilizar una política administrada para establecer el límite de permisos para una entidad (un usuario o un rol), utilice uno de los comandos siguientes:

Para integrar una política insertada (AWS CLI)

Para integrar una política insertada en una identidad (usuario, grupo o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:

Eliminación de políticas de IAM (AWS CLI)

Puede utilizar la AWS CLI para desasociar las políticas administradas que controlan los permisos, o eliminar la política aplicada como límite de permisos. También puede eliminar una política insertada.

Para desasociar una política administrada utilizada como política de permisos (AWS CLI)

  1. (Opcional) Para ver información de topología sobre una política, ejecute los siguientes comandos:

  2. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, ejecute los siguientes comandos:

  3. Para desasociar una política administrada de una identidad (un usuario, grupo o rol), utilice uno de los siguientes comandos:

Para eliminar un límite de permisos (AWS CLI)

  1. (Opcional) Para ver qué política administrada se está utilizando actualmente para establecer el límite de permisos para un usuario o un rol, ejecute los comandos siguientes:

  2. (Opcional) Para ver con qué usuarios o roles se está utilizando una política administrada para un límite de permisos, ejecute el comando siguiente:

  3. (Opcional) Para ver información sobre una política administrada, ejecute los siguientes comandos:

  4. Para eliminar un límite de permisos de un usuario o un rol, utilice uno de los comandos siguientes:

Para eliminar una política en línea (AWS CLI)

  1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (un usuario, grupo o rol), utilice uno de los siguientes comandos:

  2. (Opcional) Para recuperar un documento de política insertada integrada en una identidad (usuario, grupo o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:

  3. Para eliminar una política insertada de una identidad (usuario, grupo o rol que no sea un rol vinculado a un servicio), utilice uno de los siguientes comandos:

Adición de políticas de IAM (API de AWS)

Puede utilizar la API de AWS para asociar las políticas administradas que controlan los permisos o especificar una política que sirva como límite de permisos. También puede integrar una política insertada.

Para utilizar una política administrada como una política de permisos para una entidad (API de AWS)

  1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones:

    • Para enumerar las políticas administradas: ListPolicies

    • Para recuperar información detallada sobre una política administrada: GetPolicy

  2. Para asociar una política administrada a una identidad (un usuario, grupo o rol), llame a una de las siguientes operaciones:

Para utilizar una política administrada para configurar un límite de permisos (API de AWS)

  1. (Opcional) Para ver información sobre una política administrada, llame a las siguientes operaciones:

    • Para enumerar las políticas administradas: ListPolicies

    • Para recuperar información detallada sobre una política administrada: GetPolicy

  2. Para utilizar una política administrada para establecer el límite de permisos para una entidad (usuario o rol), llame a una de las operaciones siguientes:

Para integrar una política insertada (API de AWS)

Para integrar una política insertada en una identidad (usuario, grupo o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones:

Eliminación de políticas de IAM (API de AWS)

Puede utilizar la API de AWS para desasociar las políticas administradas que controlan los permisos, o eliminar la política aplicada como límite de permisos. También puede eliminar una política insertada.

Para desasociar una política administrada utilizada como política de permisos (API de AWS)

  1. (Opcional) Para ver información de topología sobre una política, llame a las siguientes operaciones:

    • Para enumerar las políticas administradas: ListPolicies

    • Para recuperar información detallada sobre una política administrada: GetPolicy

  2. (Opcional) Para obtener información acerca de las relaciones entre las políticas e identidades, llame a las siguientes operaciones:

  3. Para desasociar una política administrada de una identidad (un usuario, grupo o rol), llame a una de las siguientes operaciones:

Para eliminar un límite de permisos (API de AWS)

  1. (Opcional) Para ver qué política administrada se está utilizando actualmente para establecer el límite de permisos para un usuario o un rol, llame a las operaciones siguientes:

  2. (Opcional) Para ver con qué usuarios o roles se está utilizando una política administrada para un límite de permisos, llame a la operación siguiente:

  3. (Opcional) Para ver información sobre una política administrada, llame a las siguientes operaciones:

    • Para enumerar las políticas administradas: ListPolicies

    • Para recuperar información detallada sobre una política administrada: GetPolicy

  4. Para eliminar un límite de permisos de un usuario o un rol, llame a una de las operaciones siguientes:

Para eliminar una política en línea (API de AWS)

  1. (Opcional) Para enumerar todas las políticas insertadas asociadas a una identidad (un usuario, grupo o rol), llame a una de las siguientes operaciones:

  2. (Opcional) Para recuperar un documento de política insertada integrada en una identidad (usuario, grupo o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones:

  3. Para eliminar una política insertada de una identidad (usuario, grupo o rol que no sea un rol vinculado a un servicio), llame a una de las siguientes operaciones: