Niveles de acceso en los resúmenes de políticas - AWS Identity and Access Management

Niveles de acceso en los resúmenes de políticas

Resumen de nivel de acceso de AWS

Los resúmenes de políticas son resúmenes de niveles de acceso que describen los permisos de acciones definidos en cada servicio mencionado en la política en cuestión. Para obtener más información acerca de los resúmenes de políticas, consulte Resúmenes de políticas. Los resúmenes de niveles de acceso indican si las acciones en cada nivel de acceso (List, Read, Tagging, Write y Permissions management) tienen permisos Full o Limited definidos en la política. Para ver la clasificación de nivel de acceso que se asigna a cada acción de un servicio, consulte Acciones, Recursos y Claves de condición para servicios de AWS.

En el siguiente ejemplo se describe el acceso proporcionado por una política a unos servicios determinados. Para ver ejemplos de documentos de política JSON completos y los resúmenes de políticas relacionados, consulte Ejemplos de resúmenes de políticas.

Servicio Nivel de acceso Esta política proporciona lo siguiente
IAM Acceso completo de Acceso a todas las acciones dentro del servicio de IAM.
CloudWatch Full (Completo): List (Enumerar) Acceso a todas las acciones de CloudWatch en el nivel de acceso List, pero sin acceso a las acciones con la clasificación de nivel de acceso Read, Write o Permissions management.
Data Pipeline Limited (Limitado): List, (Enumerar), Read (Lectura) Acceso a al menos una pero no todas las acciones de AWS Data Pipeline con el nivel de acceso List y Read, pero sin acceso a las acciones Write o Permissions management
EC2 Full (Completo): List (Enumerar), Read (Lectura)Limited (Limitado): Write (Escritura) Acceso a todas las acciones Amazon EC2 y List de Read y acceso a al menos una pero no a todas las acciones Write de Amazon EC2, pero ningún acceso a acciones con la clasificación de nivel de acceso Permissions management.
S3 Limited (Limitado): Read (Lectura), Write (Escritura), Permissions management (Administración de permisos) Acceso a al menos una pero no a todas las acciones de Amazon S3 Read, Write y Permissions management.
CodeDeploy (empty) Acceso desconocido, porque IAM no reconoce este servicio.
API Gateway Ninguna No hay accesos definidos en la política.
CodeBuild a white exclamation point on an orange triangle background No hay acciones definidas. No hay acceso porque no se definen las acciones para el servicio. Para obtener información sobre cómo comprender y resolver este problema, consulte Mi política no concede los permisos esperados.

En el resumen de una política, el Acceso completo indica que la política proporciona acceso a todas las acciones dentro del servicio. Las políticas que proporcionan acceso a algunas pero no a todas las acciones de un servicio se agrupan en función de la clasificación del nivel de acceso. Esto se indica mediante una de las siguientes agrupaciones de nivel de acceso:

  • Full (Completo): la política proporciona acceso a todas las acciones de la clasificación de nivel de acceso especificada.

  • Limited (Limitado): la política proporciona acceso a una o varias, pero no todas, las acciones de la clasificación del nivel de acceso especificado.

  • None (Ninguno): la política no proporciona ningún tipo de acceso.

  • (vacío): IAM no reconoce este servicio. Si el nombre del servicio incluye un error tipográfico, entonces la política no proporcionará acceso al servicio. Si el nombre del servicio es correcto, el servicio podría no admitir resúmenes de políticas o podría estar en vista previa. En este caso, la política podría proporcionar acceso, pero dicho acceso no puede mostrarse en el resumen de la política. Para solicitar soporte de resumen de políticas para un servicio de disponibilidad general, consulte El servicio no admite resúmenes de políticas de IAM.

Los resúmenes de niveles de acceso que incluyen acceso (parcial) a acciones se agrupan utilizando las clasificaciones de nivel de acceso List, Read, Tagging, Write o Permissions management de AWS.

Niveles de acceso de AWS

AWS define las siguientes clasificaciones de nivel de acceso para las acciones en un servicio:

  • List (Enumerar): permiso para enumerar los recursos dentro del servicio para determinar si existe un objeto. Las acciones con este nivel de acceso pueden enumerar objetos pero no pueden ver el contenido de un recurso. Por ejemplo, la acción de Amazon S3 ListBucket tiene el nivel de acceso Lista.

  • Read (Lectura): permiso para leer, pero no editar, el contenido y los atributos de los recursos del servicio. Por ejemplo, las acciones de Amazon S3 GetObject y GetBucketLocation tienen el nivel de acceso Lectura.

  • Etiquetado: permiso para realizar acciones que solo cambian el estado de etiquetas de recursos. Por ejemplo, las acciones de IAM TagRole y UntagRole tienen el nivel de acceso Etiquetado porque solo permiten etiquetar o quitar etiquetas de un rol. Sin embargo, la acción CreateRole permite etiquetar los recursos del rol al crear ese rol. Dado que la acción no solo añade una etiqueta, tiene el nivel de acceso Write.

  • Write (Escritura): permiso para crear, eliminar o modificar los recursos del servicio. Por ejemplo, las acciones de Amazon S3 CreateBucket, DeleteBucket y PutObject tienen nivel de acceso Escritura. Las acciones Write también podrían permitir modificar una etiqueta de recurso. Sin embargo, una acción que solo permite cambios a etiquetas tiene el nivel de acceso Tagging.

  • Permissions management (Administración de permisos): permiso para conceder o modificar permisos de recursos del servicio. Por ejemplo, la mayoría de las acciones de IAM y AWS Organizations, además de las acciones del tipo PutBucketPolicy y DeleteBucketPolicy de Amazon S3 tienen el nivel de acceso Administración de permisos.

    Sugerencia

    Para mejorar la seguridad de su cuenta de Cuenta de AWS, limite o monitoree periódicamente las políticas que incluyen la clasificación de nivel de acceso Permissions management (Administración de permisos).

Para ver la clasificación de nivel de acceso para todas las acciones de un servicio, consulte Acciones, Recursos y Claves de condición para servicios de AWS.