Edición de políticas de IAM
Una política es una entidad que, cuando se asocia a una identidad o recurso, define sus permisos. Las políticas se almacenan en AWS como documentos JSON y se asocian a entidades principales como políticas basadas en identidad en IAM. Puede asociar una política basada en la identidad a una entidad principal (o identidad), como un grupo de usuarios, usuario o rol de IAM. Las políticas basadas en identidad incluyen políticas administradas por AWS, políticas administradas por el cliente y políticas insertadas. Solo puede editar las políticas administradas por el cliente y las políticas insertadas en IAM. Las políticas administradas por AWS no se pueden editar. El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS.
Por lo general, es mejor utilizar políticas administradas por el cliente en lugar de políticas insertadas o administradas de AWS. Las políticas administradas de AWS suelen proporcionar permisos administrativos amplios o de solo lectura. Las políticas insertadas no se pueden reutilizar en otras identidades ni administrarse fuera de la identidad donde existen. Para mayor seguridad, conceda privilegios mínimos, es decir, solo conceda los permisos necesarios a fin de realizar tareas específicas.
Al crear o editar políticas de IAM, AWS puede realizar automáticamente la validación de políticas para ayudarle a crear una política eficaz con el menor privilegio en mente. En AWS Management Console, IAM identifica errores de sintaxis JSON, mientras que IAM Access Analyzer proporciona verificaciones de políticas adicionales con recomendaciones para ayudarle a perfeccionar aún más las políticas. Para obtener más información acerca la validación de políticas, consulte Validación de la política de IAM. Para obtener más información acerca de las verificaciones de políticas de Analizador de acceso de IAM y las recomendaciones procesables, consulte Validación de políticas de Analizador de acceso de IAM.
Puede utilizar la AWS Management Console, la AWS CLI o la API de AWS para editar políticas administradas por el cliente y políticas insertadas en IAM. Para más información sobre el uso de plantillas AWS CloudFormation para agregar o actualizar políticas, consulte la referencia del tipo de recurso de AWS Identity and Access Management en la Guía del usuario de AWS CloudFormation.