Preparación para los permisos de privilegio mínimo

El uso de permisos de privilegio mínimo es una recomendación de prácticas recomendadas de IAM. El concepto de permisos de privilegio mínimo consiste en conceder a los usuarios solo los permisos necesarios para realizar una tarea y ningún permiso adicional. Mientras lleva a cabo la configuración, considere cómo admitirá los permisos de privilegio mínimo. El usuario raíz, el usuario administrativo y el usuario de IAM de acceso de emergencia tienen permisos potentes que no son necesarios para las tareas cotidianas. Mientras aprende acerca de AWS y prueba diferentes servicios, le recomendamos crear, al menos, un usuario adicional en IAM Identity Center con menos permisos que pueda utilizar en diferentes escenarios. Puede utilizar las políticas de IAM para definir las acciones que se pueden realizar en recursos específicos en condiciones específicas y luego, conectarse a los recursos con su cuenta con menos privilegios.

Si utiliza IAM Identity Center, considere la posibilidad de utilizar los conjuntos de permisos de IAM Identity Center para comenzar. Para obtener más información, consulte Crear un conjunto de permisos en la Guía del usuario de IAM Identity Center.

Si no utiliza IAM Identity Center, use los roles de IAM para definir los permisos de las diferentes entidades de IAM. Para obtener más información, consulte Creación de roles de IAM.

Los roles de IAM y los conjuntos de permisos de IAM Identity Center pueden utilizar políticas administradas por AWS basadas en funciones de trabajo. Para obtener más información acerca de los permisos que otorgan estas políticas, consulte Managed Policies de AWS para funciones de trabajo.

importante

Tenga presente que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para sus casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Una vez que haya finalizado la configuración, se recomienda utilizar el Analizador de acceso de IAM para generar políticas de privilegio mínimo en función de la actividad de acceso que se haya registrado en AWS CloudTrail. Para obtener más información acerca de la generación de políticas, consulte Generación de políticas de IAM Access Analyzer.

Para comenzar, le recomendamos que utilice las políticas administradas de AWS a fin de conceder permisos. Al cabo de un periodo de actividad de muestra predefinido (por ejemplo, 90 días), puede revisar los servicios a los que han accedido las personas y las cargas de trabajo. Después, puede crear una nueva política administrada por el cliente con permisos reducidos para reemplazar la política administrada de AWS. La nueva política debe incluir solo los servicios a los que se haya accedido durante el período de muestra. Actualice sus permisos para eliminar la política administrada de AWS y asocie la nueva política administrada por el cliente que haya creado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Agregación de autenticación multifactor para las identidades

Consulta de la información de acceso reciente de su cuenta de AWS