AWS Identity and Access Management
Guía del usuario

Políticas administradas y políticas insertadas

Cuando necesita establecer los permisos para una identidad en IAM, debe decidir si desea usar una política administrada por AWS, una política administrada por el cliente o una política insertada. En las secciones siguientes se incluye más información sobre cada uno de los tipos de políticas basadas en identidad y cuándo utilizarlos.

Políticas administradas de AWS

Una política administrada por AWS es una política independiente creada y administrada por AWS. Política independiente significa que la política tiene su propio Nombre de recurso de Amazon(ARN) que incluye el nombre de la política. Por ejemplo, arn:aws:iam::aws:policy/IAMReadOnlyAccess es una política administrada por AWS. Para obtener más información acerca de los ARN, consulte Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS.

Las políticas administradas por AWS se han concebido para ofrecer permisos para muchos casos de uso comunes. Las políticas administradas de AWS de acceso completo como AmazonDynamoDBFullAccess y IAMFullAccess definen los permisos para los administradores de servicios otorgando acceso completo a un servicio. Las políticas administradas de AWS de usuario avanzado como AWSCodeCommitPowerUser y AWSKeyManagementServicePowerUser se diseñan para usuarios avanzados. Las políticas administradas de AWS de acceso parcial como AmazonMobileAnalyticsWriteOnlyAccess y AmazonEC2ReadOnlyAccess proporcionan niveles de acceso específicos a los servicios de AWS sin permitir permisos de administración de permisos. Con las políticas administradas por AWS podrá asignar de forma más sencilla los permisos adecuados a los usuarios, grupos y roles que si tuviera que escribir políticas.

Una categoría particularmente útil de las políticas administradas por AWS son las concebidas para funciones. Estas políticas están en consonancia con las funciones comunes del sector de TI. La intención es facilitar la concesión de permisos para estas funciones comunes. Una ventaja clave del uso de las políticas de la función de trabajo es que se mantienen y actualizan AWS como nuevos servicios y operaciones del API. Por ejemplo, la función de trabajo AdministratorAccess proporciona acceso completo y delegación de permisos a cada servicio y recurso de AWS. Le recomendamos que utilice esta política únicamente para el administrador de la cuenta. Para los usuarios avanzados que requieran acceso completo a todos los servicios excepto acceso limitado a IAM y Organizaciones, utilice la función de trabajo PowerUserAccess. Para obtener una lista y las descripciones de la función de políticas, consulte Funciones de trabajos de AWS Managed Policies.

No puede cambiar los permisos definidos en las políticas administradas por AWS. De vez en cuando, AWS actualiza los permisos definidos en una política administrada por AWS. Cuando AWS hace esto, la actualización afecta a todas las entidades principales (usuarios, grupos y roles) a las que se asocia la política. Es más probable que AWS actualice una política administrada por AWS cuando se lanza un nuevo servicio de AWS o hay nuevas llamadas a la API para los servicios existentes. Por ejemplo, la política administrada por AWS denominada ReadOnlyAccess ofrece acceso de solo lectura a todos los servicios y recursos de AWS. Cuando AWS lanza un nuevo servicio, AWS actualiza la política ReadOnlyAccess para añadir permisos de solo lectura para el nuevo servicio. Los permisos actualizados se aplican a todas las entidades principales a las que la política está asociada.

El siguiente diagrama ilustra las políticas administradas por AWS. Este diagrama muestra tres políticas administradas por AWS: AdministratorAccess, PowerUserAccess y AWSCloudTrailReadOnlyAccess. Tenga en cuenta que una única política administrada por AWS puede asociarse a las entidades principales de diferentes cuentas de AWS y a diferentes entidades principales de una única cuenta de AWS.


        Diagrama de políticas administradas por AWS

Políticas administradas por el cliente

Puede crear políticas independientes para administrar en su propia cuenta de AWS. A estas las denominamos políticas administradas por el cliente. Puede asociar las políticas a varias entidades principales de la cuenta de AWS. Al asociar una política a una entidad principal, concederá a la entidad los permisos que están definidos en la política.

Una forma ideal para crear una política administrada por el cliente es comenzar copiando una política administrada por AWS existente. De esta forma sabrá que la política es correcta desde el principio y lo único que necesita hacer es personalizarla según su entorno.

El siguiente diagrama ilustra las políticas administradas por el cliente. Cada política es una entidad en IAM con su propio Nombre de recurso de Amazon (ARN) que incluye el nombre de política. Tenga en cuenta que la misma política puede asociarse a varias entidades principales —por ejemplo, la misma política DynamoDB-books-app se asocia a dos roles diferentes de IAM.


        Diagrama de políticas administradas por el cliente

Políticas insertadas

Una política insertada es una política que está integrada en una entidad principal (un usuario, grupo o rol), —es decir, la política forma parte integrante de la entidad principal. Puede crear una política e integrarla en una entidad principal, ya sea al crear la entidad principal o más adelante.

El siguiente diagrama ilustra las políticas insertadas. Cada política forma parte integrante del usuario, grupo o rol. Observe que dos roles incluyen la misma política (la política DynamoDB-books-app), pero que no la comparten, sino que cada rol tiene su propia copia de la política.


        Diagrama de políticas insertadas

Elegir entre políticas administradas y políticas insertadas

Los diferentes tipos de políticas están destinados a distintos casos de uso. En la mayoría de los casos, le recomendamos que utilice políticas administradas en lugar de políticas insertadas.

Las políticas administradas proporcionan las siguientes características:

Poder reutilizarlas

Una única política administrada puede asociarse a varias entidades principales (usuarios, grupos y roles). De hecho, puede crear una biblioteca de políticas que definan los permisos que son útiles para su cuenta de AWS y, a continuación, asociar dichas políticas a las entidades principales según sea necesario.

Administración centralizada de los cambios

Al cambiar una política administrada, el cambio se aplica a todas las entidades principales a las que la política está asociada. Por ejemplo, si desea añadir un permiso para una nueva API de AWS, puede actualizar la política administrada para añadir el permiso (Si utiliza una política administrada por AWS, AWS actualiza dicha política). Al actualizar la política, los cambios se aplican a todas las entidades principales a las que la política está asociada. En cambio, para cambiar una política insertada, debe editar individualmente cada entidad principal que incluya la política. Por ejemplo, si un grupo y un rol incluyen la misma política insertada, debe editar individualmente las entidades principales para poder cambiar dicha política.

Control de versiones y restauración

Al cambiar una política administrada por el cliente, la política cambiada no sobrescribe la política existente. En cambio, IAM crea una nueva versión de la política administrada. IAM almacena hasta cinco versiones de las políticas administradas por el cliente. Puede utilizar las versiones de políticas para revertir una política a una versión anterior en caso de que sea necesario.

Una versión de política es diferente de un elemento de política Version. El elemento de política Version se utiliza en una política y define la versión del lenguaje de la política. Para obtener más información sobre las versiones de política, consulte Control de versiones de políticas de IAM. Para obtener más información sobre el elemento de política Version, consulte Elementos de política JSON de IAM: Version.

Delegar la administración de permisos

Puede permitir a los usuarios de la cuenta de AWS asociar y desasociar políticas a la vez que mantiene el control de los permisos definidos en dichas políticas. De hecho, puede designar algunos usuarios como administradores completos, —es decir, administradores que pueden crear, actualizar y eliminar políticas. A continuación, puede designar otros usuarios como administradores limitados. Es decir, administradores que pueden asociar políticas a otras entidades principales, pero solo las políticas que les ha permitido asociar.

Para obtener más información acerca de cómo delegar la administración de permisos, consulte Control del acceso a políticas.

Actualizaciones automáticas para las políticas administradas por AWS

AWS mantiene políticas administradas por AWS y las actualiza según sea necesario (por ejemplo, para añadir permisos para nuevos servicios de AWS), sin que usted tenga que realizar cambios. Las actualizaciones se aplican automáticamente a las entidades principales a las que haya asociado la política administrada por AWS.

Uso de políticas insertadas

Las políticas insertadas son útiles si desea mantener una relación estricta de uno a uno entre una política y la entidad principal a la que se aplica. Por ejemplo, desea asegurarse de que los permisos en una política no se asignen de forma inadvertida a una entidad principal que no sea la prevista. Al utilizar una política insertada, los permisos de la política no se pueden asociar de forma inadvertida a la entidad principal incorrecta. Además, si utiliza la Consola de administración de AWS para eliminar dicha entidad principal, las políticas insertadas en esta entidad también se eliminan. Esto se debe a que forman parte de la entidad principal.