Descripción de los niveles de acceso en los resúmenes de políticas
Resumen de nivel de acceso de AWS
Los resúmenes de políticas son resúmenes de niveles de acceso que describen los permisos de acciones definidos en cada servicio mencionado en la política en cuestión. Para obtener más información acerca de los resúmenes de políticas, consulte Permisos concedidos por una política. Los resúmenes de niveles de acceso indican si las acciones en cada nivel de acceso (List, Read, Tagging, Write y Permissions
management) tienen permisos Full o Limited definidos en la política. Para ver la clasificación de nivel de acceso que se asigna a cada acción de un servicio, consulte Acciones, Recursos y Claves de condición para servicios de AWS.
En el siguiente ejemplo se describe el acceso proporcionado por una política a unos servicios determinados. Para ver ejemplos de documentos de política JSON completos y los resúmenes de políticas relacionados, consulte Ejemplos de resúmenes de políticas.
| Servicio | Nivel de acceso | Esta política proporciona lo siguiente |
|---|---|---|
| IAM | Acceso completo de | Acceso a todas las acciones dentro del servicio de IAM. |
| CloudWatch | Full (Completo): List (Enumerar) | Acceso a todas las acciones de CloudWatch en el nivel de acceso List, pero sin acceso a las acciones con la clasificación de nivel de acceso Read, Write o Permissions
management. |
| Data Pipeline | Limited (Limitado): List, (Enumerar), Read (Lectura) | Acceso a al menos una pero no todas las acciones de AWS Data Pipeline con el nivel de acceso List y Read, pero sin acceso a las acciones Write o Permissions
management |
| EC2 | Full (Completo): List (Enumerar), Read (Lectura)Limited (Limitado): Write (Escritura) | Acceso a todas las acciones Amazon EC2 y List de Read y acceso a al menos una pero no a todas las acciones Write de Amazon EC2, pero ningún acceso a acciones con la clasificación de nivel de acceso Permissions management. |
| S3 | Limited (Limitado): Read (Lectura), Write (Escritura), Permissions management (Administración de permisos) | Acceso a al menos una pero no a todas las acciones de Amazon S3 Read, Write y Permissions management. |
| CodeDeploy | (empty) | Acceso desconocido, porque IAM no reconoce este servicio. |
| API Gateway | Ninguna | No hay accesos definidos en la política. |
| CodeBuild |
No hay acciones definidas. |
No hay acceso porque no se definen las acciones para el servicio. Para obtener información sobre cómo comprender y resolver este problema, consulte Mi política no concede los permisos esperados. |
Tal como se ha mencionado anteriormente, el Full access (Acceso completo) indica que la política proporciona acceso a todas las acciones del servicio. Las políticas que proporcionan acceso a algunas pero no a todas las acciones de un servicio se agrupan en función de la clasificación del nivel de acceso. Esto se indica mediante una de las siguientes agrupaciones de nivel de acceso:
-
Full (Completo): la política proporciona acceso a todas las acciones de la clasificación de nivel de acceso especificada.
-
Limited (Limitado): la política proporciona acceso a una o varias, pero no todas, las acciones de la clasificación del nivel de acceso especificado.
-
None (Ninguno): la política no proporciona ningún tipo de acceso.
-
(vacío): IAM no reconoce este servicio. Si el nombre del servicio incluye un error tipográfico, entonces la política no proporcionará acceso al servicio. Si el nombre del servicio es correcto, el servicio podría no admitir resúmenes de políticas o podría estar en vista previa. En este caso, la política podría proporcionar acceso, pero dicho acceso no puede mostrarse en el resumen de la política. Para solicitar soporte de resumen de políticas para un servicio de disponibilidad general, consulte El servicio no admite resúmenes de políticas de IAM.
Los resúmenes de niveles de acceso que incluyen acceso (parcial) a acciones se agrupan utilizando las clasificaciones de nivel de acceso List, Read, Tagging, Write o Permissions management de AWS.
Niveles de acceso de AWS
AWS define las siguientes clasificaciones de nivel de acceso para las acciones en un servicio:
-
List (Enumerar): permiso para enumerar los recursos dentro del servicio para determinar si existe un objeto. Las acciones con este nivel de acceso pueden enumerar objetos pero no pueden ver el contenido de un recurso. Por ejemplo, la acción de Amazon S3
ListBuckettiene el nivel de acceso Lista. -
Read (Lectura): permiso para leer, pero no editar, el contenido y los atributos de los recursos del servicio. Por ejemplo, las acciones de Amazon S3
GetObjectyGetBucketLocationtienen el nivel de acceso Lectura. -
Etiquetado: permiso para realizar acciones que solo cambian el estado de etiquetas de recursos. Por ejemplo, las acciones de IAM
TagRoleyUntagRoletienen el nivel de acceso Etiquetado porque solo permiten etiquetar o quitar etiquetas de un rol. Sin embargo, la acciónCreateRolepermite etiquetar los recursos del rol al crear ese rol. Dado que la acción no solo añade una etiqueta, tiene el nivel de accesoWrite. -
Write (Escritura): permiso para crear, eliminar o modificar los recursos del servicio. Por ejemplo, las acciones de Amazon S3
CreateBucket,DeleteBucketyPutObjecttienen nivel de acceso Escritura. Las accionesWritetambién podrían permitir modificar una etiqueta de recurso. Sin embargo, una acción que solo permite cambios a etiquetas tiene el nivel de accesoTagging. -
Permissions management (Administración de permisos): permiso para conceder o modificar permisos de recursos del servicio. Por ejemplo, la mayoría de las acciones de IAM y AWS Organizations, además de las acciones del tipo
PutBucketPolicyyDeleteBucketPolicyde Amazon S3 tienen el nivel de acceso Administración de permisos.Sugerencia
Para mejorar la seguridad de su cuenta de Cuenta de AWS, limite o monitoree periódicamente las políticas que incluyen la clasificación de nivel de acceso Permissions management (Administración de permisos).
Para ver la clasificación de nivel de acceso para todas las acciones de un servicio, consulte Acciones, Recursos y Claves de condición para servicios de AWS.
