AWS Identity and Access Management
Guía del usuario

Resumen de política (lista de servicios)

Las políticas se resumen en tres tablas: el resumen de política, el resumen de servicio y el resumen de acción. La tabla resumen de política incluye una lista de servicios y resúmenes de los permisos definidos por la política elegida.


      Imagen del diagrama de resúmenes de política que ilustra las tres tablas y su relación

La tabla de resumen de política se agrupa en una o varias secciones Uncategorized services (Servicios sin categorizar), Explicit deny (Denegar explícitamente) y Allow (Permitir). Si la política incluye un servicio que IAM no reconoce, el servicio se incluye en la sección Uncategorized services (Servicios sin categorizar) de la tabla. Si IAM reconoce el servicio, este se incluye en las secciones Explicit deny (Denegar explícitamente) o Allow (Permitir) de la tabla, en función del efecto de la política (Deny o Allow).

Visualización de los resúmenes de políticas

Puede ver los resúmenes de las políticas que se han asociado a un usuario en la página Users (Usuarios). Puede ver los resúmenes de las políticas que se han asociado a un rol en la página Roles. Puede ver el resumen de política de las políticas administradas en la página Policies (Políticas). Si la política no incluye ningún resumen de política, consulte Resumen de la política que falta para descubrir el motivo.

Para ver el resumen de política desde la página Policies (Políticas)

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, seleccione Policies.

  3. En la lista de políticas, seleccione el nombre de la política que desea ver.

  4. En la página Summary (Resumen), diríjase a la pestaña Permissions (Permisos) para ver el resumen de política.

Para ver el resumen de una política asociada a un usuario

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija la opción Users (Usuarios) en el panel de navegación.

  3. En la lista de usuarios, seleccione el nombre del usuario cuya política desea ver.

  4. En la página Summary (Resumen) del usuario, diríjase a la pestaña Permissions (Permisos) para ver la lista de políticas asociadas directamente al usuario o desde un grupo.

  5. En la tabla de políticas del usuario, amplíe la fila de la política que desea ver.

Para ver el resumen de una política asociada a un rol

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. En la lista de roles, seleccione el nombre del rol cuya política desea ver.

  4. En la página Summary (Resumen) del rol, diríjase a la pestaña Permissions (Permisos) para ver la lista de políticas asociadas al rol.

  5. En la tabla de políticas del rol, amplíe la fila de la política que desea ver.

Edición de políticas para solucionar mensajes de advertencia

Mientras visualiza el resumen de una política, puede encontrar un error tipográfico o descubrir que la política no proporciona los permisos que esperaba. No se puede editar un resumen de política directamente. Sin embargo, puede editar una política administrada con el editor visual de políticas, que detecta muchos de los mismos errores y advertencias que los informes de resumen de políticas. A continuación, puede ver los cambios en el resumen de política para confirmar que han resuelto todos los problemas. Para obtener información sobre cómo editar una política insertada, consulte Edición de políticas de IAM. No se puede editar políticas administradas por AWS.

Para editar una política para su resumen de política mediante la pestaña Visual editor (Editor visual)

  1. Abra el resumen de política, tal y como se ha explicado en los últimos procedimientos.

  2. Elija Edit policy (Editar política).

    Si está en la página Users (Usuarios) y opta por editar una política administrada por el cliente asociada a dicho usuario, se le redirigirá a la página Policies (Políticas). Solo puede editar las políticas administradas por el cliente en la página Policies (Políticas).

  3. Elija la pestaña Visual editor (Editor visual) para ver la representación visual modificable de la política. IAM podría reestructurar la política a fin de optimizarla para el editor visual y para facilitar la detección y corrección de problemas. Los mensajes de advertencia y error de la página le ayudarán a solucionar cualquier problema con la política. Para obtener más información sobre cómo IAM reestructura políticas, consulte Reestructuración de políticas.

  4. Edite la política y elija Review policy (Revisar política) para ver los cambios reflejados en el resumen de política. Si sigue viendo un problema, elija Previous (Anterior) para volver a la pantalla de edición.

  5. Elija Save para guardar los cambios.

Para editar una política para su resumen de política mediante la pestaña JSON

  1. Abra el resumen de política, tal y como se ha explicado en los últimos procedimientos.

  2. Elija { } JSON y Policy summary (Resumen de política) para comparar el resumen de política con el documento de política JSON. Puede utilizar esta información para determinar qué líneas del documento de política desea cambiar.

  3. Elija Edit policy (Editar política) y después elija la pestaña JSON para editar el documento de política JSON.

    nota

    Puede alternar entre las pestañas Visual editor (Editor visual) y JSON en cualquier momento. Sin embargo, si realiza cambios o elige Review policy (Revisar política) en la pestaña Visual editor (Editor visual), IAM podría reestructurar la política para optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de políticas.

    Si está en la página Users (Usuarios) y opta por editar una política administrada por el cliente asociada a dicho usuario, se le redirigirá a la página Policies (Políticas). Solo puede editar las políticas administradas por el cliente en la página Policies (Políticas).

  4. Edite la política y elija Review policy (Revisar política) para ver los cambios reflejados en el resumen de política. Si sigue viendo un problema, elija Previous (Anterior) para volver a la pantalla de edición.

  5. Elija Save para guardar los cambios.

Descripción de los elementos de un resumen de política

En el siguiente ejemplo de una página de detalles del usuario, el usuario PolSumUser tiene ocho políticas asociadas. La política SummaryAllElements es una política administrada (política administrada por el cliente) asociada directamente al usuario. Esta política se ha ampliado para mostrar el resumen de política. Para ver el documento de políticas JSON de esta política, consulte Documento de políticas JSON SummaryAllElements.


        Imagen del cuadro de diálogo de resumen de política

En la imagen anterior, el resumen de política está visible desde la página de detalles del usuario:

  1. La pestaña Permissions (Permisos) de un usuario incluye las políticas asociadas al usuario PolSumUser.

  2. La política SummaryAllElements es una de varias políticas asociadas al usuario. La política se ha ampliado para poder visualizar el resumen de política.

  3. Si la política no concede permisos a todas las acciones, recursos y condiciones definidos por la política, aparece un banner de advertencia o error en la parte superior de la página. El resumen de política incluye información sobre el problema. Para obtener más información acerca de cómo los resúmenes de políticas pueden ayudarle a comprender y solucionar problemas de los permisos que concede su política, consulte Mi política no concede los permisos esperados.

  4. Utilice los botones Policy summary (Resumen de política) y { } JSON para alternar entre el resumen de política y el documento de política JSON.

  5. Simulate policy (Simular política) abre el simulador de políticas para probar la política.

  6. Utilice el cuadro de búsqueda para reducir la lista de servicios y encontrar fácilmente un determinado servicio.

  7. La vista ampliada muestra detalles adicionales de la política SummaryAllElements.

En la siguiente imagen de tabla de resumen de política se muestra la política SummaryAllElements ampliada en la página de detalles del usuario PolSumUser.


        Imagen del cuadro de diálogo de resumen de política

En la imagen anterior, el resumen de política está visible desde la página de detalles del usuario:

  1. Service (Servicio) – Esta columna enumera los servicios definidos en la política y ofrece detalles de cada servicio. Cada nombre de servicio incluido en la tabla de resumen de política es un enlace a la tabla resumen de servicio, que se explica en Resumen de servicios (lista de acciones). En este ejemplo, se definen los permisos para los servicios de Amazon S3, Facturación y Amazon EC2. La política también define los permisos para un servicio codedploy (escrito erróneamente), que IAM no reconoce.

  2. Unrecognized services (Servicios no reconocidos) – Esta política incluye un servicio no reconocido (en este caso codedploy ). Puede utilizar esta advertencia para comprobar si un nombre de servicio podría incluir un error. Si el nombre del servicio es correcto, el servicio podría no admitir resúmenes de políticas, podría estar en vista previa o podría ser un servicio personalizado. Para solicitar soporte de resumen de políticas para un servicio de disponibilidad general, consulte El servicio no admite resúmenes de políticas de IAM. En este ejemplo, la política incluye un servicio codedploy no reconocido al que le falta una e. Debido a este error tipográfico, la política no proporciona los permisos de AWS CodeDeploy esperados. Puede editar la política para incluir el nombre de servicio codedeploy preciso; el servicio aparecerá en el resumen de política.

  3. En el caso de aquellos servicios que IAM reconoce, los servicios se organizan en función de si la política permite o deniega explícitamente el uso del servicio. En este ejemplo, la política incluye instrucciones Allow y Deny para el servicio de Amazon S3. Por lo tanto, el resumen de política incluye S3 en las secciones Explicit deny (Denegar explícitamente) y Allow (Permitir).

  4. Show remaining 100 (Mostrar 100 restantes) – Elija este enlace para ampliar la tabla con el fin de incluir los servicios no definidos por la política. Estos servicios se deniegan implícitamente (o se deniegan de forma predeterminada) en esta política. Sin embargo, una instrucción de otra política podría seguir permitiendo o denegar explícitamente el uso del servicio. El resumen de política resume los permisos de una única política. Para obtener información sobre cómo el servicio de AWS decide si se permite o deniega una determinada solicitud, consulte Lógica de evaluación de políticas.

  5. EC2 – Este servicio incluye una acción no reconocida. IAM reconoce los nombres de servicios, acciones y tipos de recurso de los servicios que admiten resúmenes de políticas. Si un servicio es reconocido, pero incluye una acción que no se reconoce, IAM incluye una advertencia junto a dicho servicio. En este ejemplo, IAM no puede reconocer al menos una acción de Amazon EC2. Para obtener más información acerca de las acciones no reconocidas y para ver la acción no reconocida en un resumen de servicio de S3, consulte Resumen de servicios (lista de acciones).

    nota

    IAM comprueba los nombres de los servicios, las acciones y los tipos de recurso para los servicios que admiten resúmenes de políticas. Sin embargo, el resumen de política podría incluir algún valor de recurso o condición que no exista. Pruebe siempre las políticas con el simulador de políticas.

  6. S3 – Este servicio incluye un recurso no reconocido. IAM reconoce los nombres de servicios, acciones y tipos de recurso de los servicios que admiten resúmenes de políticas. Si un servicio es reconocido, pero incluye un tipo de recurso que no se reconoce, IAM incluye una advertencia junto a dicho servicio. En este ejemplo, IAM no puede reconocer al menos una acción de Amazon S3. Para obtener más información acerca de los recursos no reconocidos y para ver el tipo de recurso no reconocido en un resumen de servicio de S3, consulte Resumen de servicios (lista de acciones).

  7. Access level (Nivel de acceso) – Esta columna indica si las acciones en cada nivel de acceso (List, Read, Write y Permissions management) tienen permisos Full o Limited definidos en la política. Para obtener información y ejemplos adicionales del resumen de nivel de acceso, consulte Descripción de los resúmenes de nivel de acceso en los resúmenes de políticas.

    • Full access (Acceso total) – Esta entrada indica que el servicio tiene acceso a todas las acciones de los cuatro niveles de acceso disponibles para el servicio. En este ejemplo, dado que esta fila está en la sección Explicit deny (Denegar explícitamente) de la tabla, todas las acciones de Amazon S3 se deniegan para los recursos incluidos en la política.

    • Si la entrada no incluye Full access (Acceso total), el servicio tiene acceso a algunas, pero no todas, acciones del servicio. Las siguientes descripciones de las cuatro clasificaciones de nivel de acceso definen el acceso (List, Read, Write y Permissions management):

      Full (Total): la política proporciona acceso a todas las acciones de cada clasificación de nivel de acceso indicada. En este ejemplo, la política proporciona acceso a todas las acciones Read del servicio Facturación.

      Limited (Limitado): la política proporciona acceso a una o varias, pero no todas, acciones de la clasificación de nivel de acceso indicada. En este ejemplo, la política proporciona acceso a algunas de las acciones Write del servicio Facturación.

  8. Resource (Recurso) – Esta columna muestra los recursos que la política especifica para cada servicio.

    • Multiple (Múltiples) – La política incluye más de uno, pero no todos los recursos, del servicio. En este ejemplo, el acceso se deniega explícitamente a más de un recurso de Amazon S3.

    • All resources (Todos los recursos) – La política se define para todos los recursos del servicio. En este ejemplo, la política permite que las acciones indicadas se realicen en todos los recursos del servicio Facturación.

    • Resource text – La política incluye un recurso del servicio. En este ejemplo, las acciones indicadas solo se pueden llevar a cabo en el recurso de bucket de Amazon S3 developer_bucket. En función de la información que el servicio proporcione a IAM, se puede mostrar un ARN, como arn:aws:s3:::developer_bucket/*, o el tipo de recurso definido, como BucketName = developer_bucket.

      nota

      Esta columna puede incluir un recurso de otro servicio. Si la instrucción de la política que incluye el recurso no incluye ambas acciones y recursos del mismo servicio, el servicio incluirá recursos erróneos. IAM no le avisa de recursos no coincidentes al crear una política o al visualizar una política en el resumen de política. Si esta columna incluye un recurso no coincidente, debe comprobar que la política no tiene errores. Para comprender mejor las políticas, pruébelas siempre con el simulador de políticas.

  9. Request condition (Condición de solicitud) – Esta columna indica si los servicios o acciones asociados al recurso están sujetos a las condiciones.

    • None (Ninguna) – La política no incluye ninguna condición para el servicio. En este ejemplo, no se aplica ninguna condición a las acciones denegadas en el servicio de Amazon S3.

    • Condition text – La política incluye una condición para el servicio. En este ejemplo, las acciones del servicio Facturación indicadas solo pueden llevarse a cabo si la dirección IP del origen coincide con 203.0.113.0/24.

    • Multiple (Múltiples) – La política incluye más de una condición para el servicio. En este ejemplo, se permite el acceso a las acciones de Amazon S3 indicadas en función de más de una condición. Para ver cada una de las diversas condiciones para la política, elija { } JSON para ver el documento de política.

Cuando una política o un elemento dentro de la política no concede permisos, IAM, proporciona información y advertencias adicionales en la política de resumen. En la siguiente tabla de resumen de política se muestran los 100 servicios restantes ampliados (Show remaining 100 (Mostrar 100 restantes)) en la página de detalles de usuario PolSumUser, con las posibles advertencias.


        Imagen del cuadro de diálogo de resumen de política

En la imagen anterior, puede ver todos los servicios que incluyen acciones, recursos o condiciones definidos sin permisos:

  1. Resource warnings (Advertencia del recurso) – En el caso de servicios que no conceden permisos para todas las acciones o recursos incluidos, verá una de las siguientes advertencias en la columna Resource (Recurso) de la tabla:

    • No resources are defined. (No hay recursos definidos.) – Esto significa que el servicio ha definido acciones, pero no se incluyen recursos admitidos en la política.

    • One or more actions do not have an applicable resource. (Una o más acciones no tienen un recurso aplicable.) – Esto significa que el servicio ha definido acciones, pero que algunas de ellas no incluyen un recurso admitido.

    • One or more resources do not have an applicable action. (Uno o más recursos no tienen una acción aplicable.) – Esto significa que el servicio ha definido recursos, pero que algunos de ellos no incluyen una acción admitida.

    Si un servicio incluye tanto acciones que no tienen un recurso aplicable como recursos que no tienen un recurso aplicable, solo aparece la advertencia One or more resources do not have an applicable action. (Uno o más recursos no tienen una acción aplicable.). Esto se debe a que el resumen de servicio del servicio en cuestión no muestra los recursos que no son aplicables a ninguna acción. En el caso de la acción ListAllMyBuckets, esta política incluye la última advertencia porque la acción no admite permisos en el nivel de recursos ni la clave de condición s3:x-amz-acl. Si soluciona el problema de recursos o el de condición, el problema que quede pendiente aparece en una advertencia detallada.

  2. Request condition warnings (Advertencias de la condición de solicitud) – En el caso de servicios que no conceden permisos para todas las condiciones incluidas, verá una de las siguientes advertencias en la columna Request condition (Condición de la solicitud) de la tabla:

    • One or more actions do not have an applicable condition. (Una o más acciones no tienen una condición aplicable.) – Esto significa que el servicio ha definido acciones, pero que algunas de ellas no incluyen una condición admitida.

    • One or more conditions do not have an applicable action. (Una o más condiciones no tienen una acción aplicable.) – Esto significa que el servicio ha definido condiciones, pero que algunas de ellas no incluyen una acción admitida.

  3. Multiple (Múltiples) | One or more actions do not have an applicable resource. (Una o más acciones no tienen un recurso aplicable.) – La instrucción Deny para Amazon S3 incluye más de un recurso. También incluye más de una acción, de las cuales algunas admiten los recursos y otras no. Para consultar esta política, visite Documento de políticas JSON SummaryAllElements. En este caso, la política incluye todas las acciones de Amazon S3 y se deniegan solo las acciones que pueden realizarse en un bucket o en un objeto de bucket.

  4. Los puntos suspensivos (...) indican que se incluyen todos los servicios de la página, pero que se muestran solo las filas con información relativa a esta política. Al ver esta página en la Consola de administración de AWS, verá todos los servicios de AWS.

  5. El color de fondo de las filas de tabla indica los servicios que no conceden ningún permiso. No se puede obtener más información acerca de estos servicios en el resumen de políticas. En el caso de los servicios que aparecen en filas blancas, puede elegir el nombre del servicio para ver la página del resumen del servicio (lista de acciones). Aquí podrá obtener más información acerca de los permisos concedidos para dicho servicio.

  6. None - No actions are defined. (Ninguna - No hay acciones definidas.) – Esto significa que el servicio se define como un recurso o condición, pero que no se incluyen acciones para el servicio. Por lo tanto, el servicio no concede permisos. En este caso, la política incluye un recurso de CodeBuild pero ninguna acción de CodeBuild.

  7. No resources are defined (No hay recursos definidos) – El servicio incluye acciones definidas, pero la política no incluye recursos admitidos. Por lo tanto, el servicio no concede permisos. En este caso, la política incluye acciones de CodeCommit pero ningún recurso de CodeCommit.

  8. BucketName = developer_bucket, ObjectPath = All | One or more resources do not have an applicable action. (Uno o más recursos no tienen una acción aplicable.) – El servicio tiene un recurso de objeto de bucket definido y al menos un recurso sin acciones admitidas.

  9. s3:x-amz-acl = public-read | One or more conditions do not have an applicable action. (Una o más condiciones no tienen una acción aplicable.) – El servicio tiene una clave de condición s3:x-amz-acl definida y al menos una clave de condición sin acciones admitidas.

Documento de políticas JSON SummaryAllElements

La política SummaryAllElements no ha sido creada para que defina permisos en su cuenta. En su lugar, se incluyen para demostrar los errores y las advertencias que podría encontrar al consultar un resumen de políticas.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aws-portal:ViewBilling", "aws-portal:ViewPaymentMethods", "aws-portal:ModifyPaymentMethods", "aws-portal:ViewAccount", "aws-portal:ModifyAccount", "aws-portal:ViewUsage" ], "Resource": [ "*" ], "Condition": { "IpAddress": { "aws:SourceIp": "203.0.113.0/24" } } }, { "Effect": "Deny", "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::customer", "arn:aws:s3:::customer/*" ] }, { "Effect": "Allow", "Action": [ "ec2:GetConsoleScreenshots" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "codedploy:*", "codecommit:*" ], "Resource": [ "arn:aws:codedeploy:us-west-2:123456789012:deploymentgroup:*", "arn:aws:codebuild:us-east-1:123456789012:project/my-demo-project" ] }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets", "s3:GetObject", "s3:DeletObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::developer_bucket", "arn:aws:s3:::developer_bucket/*", "arn:aws:autoscling:us-east-2:123456789012:autoscalgrp" ], "Condition": { "StringEquals": { "s3:x-amz-acl": [ "public-read" ], "s3:prefix": [ "custom", "other" ] } } } ] }