AWS Identity and Access Management
Guía del usuario

Descripción de los resúmenes de nivel de acceso en los resúmenes de políticas

Los resúmenes de políticas son resúmenes de niveles de acceso que describen los permisos de acciones definidos en cada servicio mencionado en la política en cuestión. Para obtener más información acerca de los resúmenes de políticas, consulte Permisos concedidos por una política. Los resúmenes de niveles de acceso indican si las acciones en cada nivel de acceso (List, Read, Write y Permissions management) tienen permisos Full o Limited definidos en la política. Para ver la clasificación del nivel de acceso asignada a cada acción de un servicio, consulte Claves de condición, recursos y acciones de los servicios de AWS.

En el siguiente ejemplo se describe el acceso proporcionado por una política a unos servicios determinados. Para ver ejemplos de documentos de política JSON completos y los resúmenes de políticas relacionados, consulte Ejemplos de resúmenes de políticas.

de pedidos Nivel de acceso Esta política proporciona:
IAM Acceso completo Acceso a todas las acciones dentro del servicio de IAM
CloudWatch Full (Completo): List (Enumerar) Acceso a todas las acciones de CloudWatch en el nivel de acceso List, pero sin acceso a las acciones con la clasificación de nivel de acceso Read, Write o Permissions management
Data Pipeline Limited (Limitado): List, (Enumerar), Read (Lectura) Acceso a al menos una pero no todas las acciones de AWS Data Pipeline con el nivel de acceso List y Read, pero sin acceso a las acciones Write o Permissions management
EC2 Full (Completo): List (Enumerar), Read (Lectura)Limited (Limitado): Write (Escritura) Acceso a todas las acciones List y Read de Amazon EC2 y acceso a al menos una pero no a todas las acciones Write de Amazon EC2, pero ningún acceso a acciones con la clasificación de nivel de acceso Permissions management
S3 Limited (Limitado): Read (Lectura), Write (Escritura), Permissions management (Administración de permisos) Acceso a al menos una pero no a todas las acciones Read, Write y Permissions management de Amazon S3
codedploy (empty) Acceso desconocido, porque IAM no reconoce este servicio
API Gateway Nada No hay accesos definidos en la política
CodeBuild No hay acciones definidas. No hay acceso porque no se definen las acciones para el servicio. Para obtener información sobre cómo comprender y resolver este problema, consulte Mi política no concede los permisos esperados

Tal como se ha mencionado anteriormente, el Full access (Acceso completo) indica que la política proporciona acceso a todas las acciones del servicio. Las políticas que proporcionan acceso a algunas pero no a todas las acciones de un servicio se agrupan en función de la clasificación del nivel de acceso. Esto se indica mediante una de las siguientes agrupaciones de nivel de acceso:

  • Full (Completo): la política proporciona acceso a todas las acciones de la clasificación de nivel de acceso especificada.

  • Limited (Limitado): la política proporciona acceso a una o varias, pero no todas, las acciones de la clasificación del nivel de acceso especificado.

  • None (Ninguno): la política no proporciona ningún tipo de acceso.

  • (vacío): IAM no reconoce este servicio. Si el nombre del servicio incluye un error tipográfico, entonces la política no proporcionará acceso al servicio. Si el nombre del servicio es correcto, el servicio podría no admitir resúmenes de políticas o podría estar en vista previa. En este caso, la política podría proporcionar acceso, pero dicho acceso no puede mostrarse en el resumen de la política. Para solicitar soporte de resumen de políticas para un servicio de disponibilidad general, consulte El servicio no admite resúmenes de políticas de IAM.

Los resúmenes de niveles de acceso que incluyen acceso parcial a acciones se agrupan utilizando las siguientes clasificaciones de nivel de acceso:

  • List (Enumerar): permiso para enumerar los recursos dentro del servicio para determinar si existe un objeto. Las acciones con este nivel de acceso pueden enumerar objetos pero no pueden ver el contenido de un recurso. Por ejemplo, la acción ListBucket de Amazon S3 tiene el nivel de acceso List (Enumerar).

  • Read (Lectura): permiso para leer, pero no editar, el contenido y los atributos de los recursos del servicio. Por ejemplo, las acciones GetObject y GetBucketLocation de Amazon S3 tiene el nivel de acceso Read (Lectura).

  • Write (Escritura): permiso para crear, eliminar o modificar los recursos del servicio. Por ejemplo, las acciones de Amazon S3 CreateBucket, DeleteBuckety PutObject tienen nivel de acceso Write (Escritura). Las acciones Write también podrían permitir modificar una etiqueta de recurso. Sin embargo, una acción que solo permite cambios a etiquetas tiene el nivel de acceso Tagging.

  • Permissions management (Administración de permisos): permiso para conceder o modificar permisos de recursos del servicio. Por ejemplo, la mayoría de las acciones de IAM y AWS Organizations, además de las acciones del tipo PutBucketPolicy y DeleteBucketPolicy de Amazon S3 tienen el nivel de acceso Permissions management (Administración de permisos).

    Sugerencia

    Para mejorar la seguridad de su cuenta de AWS, limite o monitorice periódicamente las políticas que incluyen la clasificación de nivel de acceso Permissions management (Administración de permisos).

  • Etiquetado: permiso para realizar acciones que solo cambian el estado de etiquetas de recursos. Por ejemplo, las acciones de IAM TagRole y UntagRole tienen el nivel de acceso Tagging (Etiquetado) porque solo permiten etiquetar o quitar etiquetas de un rol. Sin embargo, la acción CreateRole permite etiquetar los recursos del rol al crear ese rol. Dado que la acción no solo añade una etiqueta, tiene el nivel de acceso Write.

Para ver la clasificación de nivel de acceso de todas las acciones de un servicio, consulte Claves de condición, recursos y acciones de los servicios de AWS.