Comprensión de los resúmenes de nivel de acceso dentro de los resúmenes de políticas - AWS Identity and Access Management

Si proporcionásemos una traducción de la versión en inglés de la guía, prevalecerá la versión en inglés de la guía si hubiese algún conflicto. La traducción se proporciona mediante traducción automática.

Comprensión de los resúmenes de nivel de acceso dentro de los resúmenes de políticas

AWS resumen de nivel de acceso

Los resúmenes de políticas son resúmenes de niveles de acceso que describen los permisos de acciones definidos en cada servicio mencionado en la política en cuestión. Para obtener más información acerca de los resúmenes de políticas, consulte Descripción de los permisos concedidos por una política. Los resúmenes de niveles de acceso indican si las acciones en cada nivel de acceso (List, Read, Write y Permissions management) tienen permisos Full o Limited definidos en la política. Para ver la clasificación de nivel de acceso asignada a cada acción de un servicio, consulte Claves de condición, recursos y acciones de AWS Servicios.

En el siguiente ejemplo se describe el acceso proporcionado por una política a unos servicios determinados. Para ver ejemplos de documentos de política JSON completos y los resúmenes de políticas relacionados, consulte Ejemplos de resúmenes de políticas.

Servicio Nivel de acceso Esta política proporciona lo siguiente
IAM Acceso completo Acceso a todas las acciones dentro del servicio de IAM
CloudWatch [EMPTY] List Acceso a todas las acciones de CloudWatch en el nivel de acceso List, pero sin acceso a las acciones con la clasificación de nivel de acceso Read, Write o Permissions management
Data Pipeline Limitado. Lista, Leer Acceso a al menos una pero no todas las acciones de AWS Data Pipeline con el nivel de acceso List y Read, pero sin acceso a las acciones Write o Permissions management
EC2 [EMPTY] Lista, Leer [EMPTY] Escritura Acceso a todas las acciones List y Read de Amazon EC2 y acceso a al menos una pero no a todas las acciones Write de Amazon EC2, pero ningún acceso a acciones con la clasificación de nivel de acceso Permissions management
S3 Limitado. Administración de permisos de lectura, escritura y permisos Acceso a al menos una pero no a todas las acciones Read, Write yPermissions management de Amazon S3.
CodeDeploy (empty) Acceso desconocido, porque IAM no reconoce este servicio
API Gateway Ninguna No hay accesos definidos en la política.
CodeBuild No hay acciones definidas. No hay acceso porque no se definen las acciones para el servicio. Para obtener información sobre cómo comprender y resolver este problema, consulte Mi política no concede los permisos esperados.

Tal como se ha mencionado anteriormente, el Full access (Acceso completo) indica que la política proporciona acceso a todas las acciones del servicio. Las políticas que proporcionan acceso a algunas pero no a todas las acciones de un servicio se agrupan en función de la clasificación del nivel de acceso. Esto se indica mediante una de las siguientes agrupaciones de nivel de acceso:

  • Completo: La política proporciona acceso a todas las acciones de dentro de la clasificación de nivel de acceso especificada.

  • Limitado: La política proporciona acceso a una o varias acciones de , pero no a todas, dentro de la clasificación de nivel de acceso especificada.

  • Ninguno La política no proporciona acceso a.

  • (vacío): IAM no reconoce este servicio. Si el nombre del servicio incluye un error tipográfico, entonces la política no proporcionará acceso al servicio. Si el nombre del servicio es correcto, el servicio podría no admitir resúmenes de políticas o podría estar en vista previa. En este caso, la política podría proporcionar acceso, pero dicho acceso no puede mostrarse en el resumen de la política. Para solicitar soporte de resumen de políticas para un servicio de disponibilidad general, consulte El servicio no admite IAM Resúmenes de políticas de.

Los resúmenes de niveles de acceso que incluyen acceso (parcial) a acciones se agrupan utilizando las clasificaciones de nivel de acceso List, Read, Write, Permissions Management o Tagging de AWS.

AWS niveles de acceso

AWS define las siguientes clasificaciones de nivel de acceso para las acciones en un servicio:

  • List Permiso para enumerar recursos dentro del servicio de para determinar si existe un objeto. Las acciones con este nivel de acceso pueden enumerar objetos pero no pueden ver el contenido de un recurso. Por ejemplo, la acción ListBucket de Amazon S3 tiene el nivel de acceso List (Enumerar).

  • [EMPTY]: Permiso para leer pero no editar el contenido y los atributos de los recursos en el servicio. Por ejemplo, las acciones GetObject y GetBucketLocation de Amazon S3 tiene el nivel de acceso Read (Lectura).

  • Escribir: Permiso para crear, eliminar o modificar recursos en el servicio. Por ejemplo, las acciones CreateBucket, DeleteBucket y PutObject de Amazon S3 tienen el nivel de acceso Write (Escritura). Write Las acciones de también pueden permitir la modificación de una etiqueta de recurso. Sin embargo, una acción que solo permite cambios a etiquetas tiene el nivel de acceso Tagging.

  • Administración de permisos: Permiso para conceder o modificar permisos de recursos en el servicio. Por ejemplo, la mayoría de las acciones de IAM y AWS Organizations, además de las acciones del tipo PutBucketPolicy y DeleteBucketPolicy de Amazon S3 tienen el nivel de acceso Permissions management (Administración de permisos).

    Tip

    Para mejorar la seguridad de su cuenta de AWS, limite o monitorice periódicamente las políticas que incluyen la clasificación de nivel de acceso Permissions management (Administración de permisos).

  • Etiquetado Permiso para realizar acciones que solo cambian el estado de las etiquetas de recursos. Por ejemplo, las acciones de IAM TagRole y UntagRole tienen el nivel de acceso Tagging (Etiquetado) porque solo permiten etiquetar o quitar etiquetas de un rol. Sin embargo, la acción CreateRole permite etiquetar los recursos del rol al crear ese rol. Dado que la acción no solo añade una etiqueta, tiene el nivel de acceso Write.

Para ver la clasificación de nivel de acceso de todas las acciones de un servicio, consulte Claves de condición, recursos y acciones de AWS Servicios.