Políticas administradas y políticas insertadas - AWS Identity and Access Management

Políticas administradas y políticas insertadas

Cuando necesita establecer los permisos para una identidad en IAM, debe decidir si desea utilizar una política administrada por AWS, una política administrada por el cliente o una política insertada. En las secciones siguientes se incluye más información sobre cada uno de los tipos de políticas basadas en identidad y cuándo utilizarlos.

Políticas administradas por AWS

Una política administrada por AWS es una política independiente creada y administrada por AWS. Política independiente significa que la política tiene su propio Nombre de recurso de Amazon(ARN) que incluye el nombre de la política. Por ejemplo, arn:aws:iam::aws:policy/IAMReadOnlyAccess es una política administrada por AWS. Para obtener más información sobre los ARN, consulte ARN de IAM.

Las políticas administradas por AWS se han concebido para ofrecer permisos para muchos casos de uso comunes. Las políticas administradas de AWS de acceso completo como AmazonDynamoDBFullAccess y IAMFullAccess definen los permisos para los administradores de servicios otorgando acceso completo a un servicio. Las políticas administradas de AWS de usuario avanzado como AWSCodeCommitPowerUser y AWSKeyManagementServicePowerUser se diseñan para usuarios avanzados. Las políticas administradas de AWS de acceso parcial AmazonMobileAnalyticsWriteOnlyAccess y AmazonEC2ReadOnlyAccess proporcionan niveles de acceso específicos a los servicios de AWS sin permitir permisos de nivel de acceso de administración de permisos. Con las políticas administradas por AWS podrá asignar de forma más sencilla los permisos adecuados a los usuarios, grupos y roles que si tuviera que escribir políticas.

Una categoría particularmente útil de las políticas administradas por AWS son las concebidas para funciones. Estas políticas están en consonancia con las funciones comunes del sector de TI. La intención es facilitar la concesión de permisos para estas funciones comunes. Una ventaja clave del uso de las políticas de la función de trabajo es que se mantienen y actualizan AWS como nuevos servicios y operaciones del API. Por ejemplo, la función de trabajo AdministratorAccess proporciona acceso completo y delegación de permisos a cada servicio y recurso de AWS. Le recomendamos que utilice esta política únicamente para el administrador de la cuenta. Para los usuarios avanzados que requieran acceso completo a todos los servicios excepto acceso limitado a IAM y Organizations, utilice la función de trabajo PowerUserAccess. Para obtener una lista y las descripciones de la función de políticas, consulte Managed Policies de AWS para funciones de trabajo.

No puede cambiar los permisos definidos en las políticas administradas por AWS. De vez en cuando, AWS actualiza los permisos definidos en una política administrada por AWS. Cuando AWS hace esto, la actualización afecta a todas las entidades principales (usuarios, grupos y roles) a las que se asocia la política. Es más probable que AWS actualice una política administrada por AWS cuando se lanza un nuevo servicio de AWS o hay nuevas llamadas a la API para los servicios existentes. Por ejemplo, la política administrada por AWS denominada ReadOnlyAccess ofrece acceso de solo lectura a todos los servicios y recursos de AWS. Cuando AWS lanza un nuevo servicio, AWS actualiza la política ReadOnlyAccess para añadir permisos de solo lectura para el nuevo servicio. Los permisos actualizados se aplican a todas las entidades principales a las que la política está asociada.

El siguiente diagrama ilustra las políticas administradas por AWS. Este diagrama muestra tres políticas administradas de AWS: AdministratorAccess, PowerUserAccess, y AWSCloudTrailReadOnlyAccess. Tenga en cuenta que una única política administrada por AWS puede asociarse a las entidades principales de diferentes cuentas de AWS y a diferentes entidades principales de una única cuenta de AWS.


        Diagrama de políticas administradas por AWS

Políticas administradas por el cliente

Puede crear políticas independientes para administrar en su propia cuenta de AWS. A estas las denominamos políticas administradas por el cliente. Puede asociar las políticas a varias entidades principales de la cuenta de AWS. Al asociar una política a una entidad principal, concederá a la entidad los permisos que están definidos en la política.

Una forma ideal para crear una política administrada por el cliente es comenzar copiando una política administrada por AWS existente. De esta forma sabrá que la política es correcta desde el principio y lo único que necesita hacer es personalizarla según su entorno.

El siguiente diagrama ilustra las políticas administradas por el cliente. Cada política es una entidad de IAM con su propio Nombre de recurso de Amazon (ARN) que incluye el nombre de la política. Tenga en cuenta que la misma política puede asociarse a varias entidades principales por ejemplo, la misma política DynamoDB-books-app se asocia a dos roles diferentes de IAM.


        Diagrama de políticas administradas por el cliente

Introducción sobre el uso de permisos con políticas administradas de AWS

Recomendamos utilizar políticas que otorguen el menor privilegio, o que concedan solo los permisos necesarios para realizar una tarea. La forma más segura de conceder un privilegio mínimo es redactar una política administrada por el cliente que conceda únicamente los permisos que necesite el equipo. Debe crear un proceso para permitir que su equipo solicite más permisos cuando sea necesario. Se necesita tiempo y experiencia para crear políticas de IAM administradas por el cliente que proporcionen a su equipo solo los permisos necesarios.

Para comenzar a agregar permisos a las identidades de IAM (usuarios, grupos de usuarios y roles), puede utilizar Políticas administradas por AWS. Las políticas administradas de AWS no conceden permisos de privilegios mínimos. Considere el riesgo de seguridad de conceder a sus entidades principales más permisos de los que necesitan para realizar su trabajo.

Puede adjuntar políticas administradas de AWS, incluidas las funciones de trabajo, a cualquier identidad de IAM. Para cambiar a permisos de privilegios mínimos, puede ejecutar AWS Identity and Access Management Access Analyzer para supervisar las entidades principales con las políticas administradas de AWS. Después de saber qué permisos están utilizando, puede escribir una política personalizada o generar una política con solo los permisos necesarios para su equipo. Esto es menos seguro, pero proporciona más flexibilidad a medida que aprende cómo usa su equipo AWS.

Las políticas administradas por AWS se han concebido para ofrecer permisos para muchos casos de uso comunes. Para obtener más información acerca de las políticas administradas AWS que están diseñadas para funciones de trabajo específicas, consulte Managed Policies de AWS para funciones de trabajo.

Políticas insertadas

Una política insertada es una política incrustada en una identidad de IAM (un usuario, grupo o rol). Es decir, la política es una parte inherente de la identidad. Puede crear una política e incluirla en una identidad, ya sea al momento de crear la identidad o posteriormente.

El siguiente diagrama ilustra las políticas insertadas. Cada política forma parte integrante del usuario, grupo o rol. Observe que dos roles incluyen la misma política (la política DynamoDB-books-app), pero que no la comparten, sino que cada rol tiene su propia copia de la política.


        Diagrama de políticas insertadas

Elegir entre políticas administradas y políticas insertadas

Los diferentes tipos de políticas están destinados a distintos casos de uso. En la mayoría de los casos, le recomendamos que utilice políticas administradas en lugar de políticas insertadas.

Las políticas administradas proporcionan las siguientes características:

Poder reutilizarlas

Una única política administrada puede asociarse a varias entidades principales (usuarios, grupos y roles). De hecho, puede crear una biblioteca de políticas que definan los permisos que son útiles para su cuenta de AWS y, a continuación, asociar dichas políticas a las entidades principales según sea necesario.

Administración centralizada de los cambios

Al cambiar una política administrada, el cambio se aplica a todas las entidades principales a las que la política está asociada. Por ejemplo, si desea añadir un permiso para una nueva API de AWS, puede actualizar la política administrada para añadir el permiso (Si utiliza una política administrada por AWS, AWS actualiza dicha política). Al actualizar la política, los cambios se aplican a todas las entidades principales a las que la política está asociada. En cambio, para cambiar una política insertada, debe editar individualmente cada identidad que incluya la política. Por ejemplo, si un grupo y un rol incluyen la misma política insertada, debe editar individualmente las entidades principales para poder cambiar dicha política.

Control de versiones y restauración

Al cambiar una política administrada por el cliente, la política cambiada no sobrescribe la política existente. En cambio, IAM crea una nueva versión de la política administrada. IAM almacena hasta cinco versiones de las políticas administradas por el cliente. Puede utilizar las versiones de políticas para revertir una política a una versión anterior en caso de que sea necesario.

nota

Una versión de política es diferente de un elemento de política Version. El elemento de política Version se utiliza en una política y define la versión del lenguaje de la política. Para obtener más información sobre las versiones de política, consulte Control de versiones de políticas de IAM. Para obtener más información sobre el elemento de política Version, consulte Elementos de política JSON de IAM: Version.

Delegar la administración de permisos

Puede permitir a los usuarios de la cuenta de AWS asociar y desasociar políticas a la vez que mantiene el control de los permisos definidos en dichas políticas. De hecho, puede designar algunos usuarios como administradores completos, es decir, administradores que pueden crear, actualizar y eliminar políticas. A continuación, puede designar otros usuarios como administradores limitados. Es decir, administradores que pueden asociar políticas a otras entidades principales, pero solo las políticas que les ha permitido asociar.

Para obtener más información acerca de cómo delegar la administración de permisos, consulte Control del acceso a políticas.

Actualizaciones automáticas para las políticas administradas por AWS

AWS mantiene políticas administradas por AWS y las actualiza según sea necesario (por ejemplo, para añadir permisos para nuevos servicios de AWS), sin que usted tenga que realizar cambios. Las actualizaciones se aplican automáticamente a las entidades principales a las que haya asociado la política administrada por AWS.

Uso de políticas insertadas

Las políticas insertadas son útiles si desea mantener una relación estricta de uno a uno entre una política y la identidad a la cual se aplica. Por ejemplo, desea asegurarse de que los permisos en una política no se asignen por error a una identidad que no sea la prevista. Al utilizar una política insertada, los permisos de la política no se pueden asociar por error a la identidad incorrecta. Además, si utiliza la AWS Management Console para eliminar dicha identidad, las políticas insertadas en esta entidad también se eliminan. Esto se debe a que forman parte de la entidad principal.

Cómo convertir una política insertada en una política administrada

Si tiene políticas insertadas en su cuenta, puede convertirlas en políticas administradas. Para ello, copie la política en una nueva política administrada. A continuación, asocie la nueva política a la identidad que tiene la política insertada. A continuación, elimine la política insertada. Para ello, puede utilizar las instrucciones que se incluyen a continuación.

Para convertir una política insertada en una política administrada

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Grupos de usuarios, Usuarios o Roles.

  3. En la lista, elija el nombre del grupo de usuarios, usuario o rol que tiene la política que desea quitar.

  4. Elija la pestaña Permissions (Permisos).

  5. Para grupos de usuarios, seleccione el nombre de la política insertada que desea eliminar. Para usuarios y roles, elija Show n more (Mostrar n más), si es necesario y, a continuación, elija la flecha situada junto a la política insertada que desea eliminar.

  6. Copie el documento de política de JSON de la política.

  7. En el panel de navegación, seleccione Policies (Políticas).

  8. Elija Crear policy (Crear política) y, a continuación, elija la pestaña JSON.

  9. Reemplace el texto existente con el texto de la política de JSON y, a continuación, elija Review policy (Revisar política).

  10. Escriba un nombre para la política y elija Create policy (Crear política).

  11. En el panel de navegación, seleccione Grupos, Usuarios o Roles y vuelva a seleccionar el nombre del grupo de usuario, usuario o rol que tenga la política que desea quitar.

  12. Para los grupos de usuarios, elija la pestaña Permisos. Para usuarios y roles, elija Add permissions (Agregar permisos).

  13. Para grupos de usuarios, seleccione la casilla que se encuentra junto al nombre de la nueva política, elija Agregar permisos y, a continuación, elija Adjuntar política. Para usuarios o roles, elija Add permissions (Agregar permisos). En la página siguiente, elija Attach existing policies directly (Asociar directamente políticas existentes), seleccione la casilla de verificación junto al nombre de su nueva política, elija Next: Review (Siguiente: Revisar) y, a continuación, elija Add permissions (Agregar permisos).

    Volverá a la página Resumen de su usuario, grupo de usuarios o rol.

  14. Para grupos de usuarios, active la casilla de verificación situada al lado de la política insertada que desea eliminar y elija Eliminar. Para usuarios o roles, elija X al lado de la política insertada que desea eliminar.