Ejemplos de políticas para administrar recursos de IAM
A continuación se muestran ejemplos de políticas de IAM que permiten a los usuarios realizar tareas asociadas a la administración de usuarios, grupos y credenciales de IAM. Esto incluye políticas que permiten a los usuarios administrar sus propias contraseñas, claves de acceso y dispositivos de autenticación multifactor (MFA).
Para ver ejemplos de políticas que permiten a los usuarios realizar tareas con otros servicios de AWS, como Amazon S3, Amazon EC2, y DynamoDB consulte Ejemplos de políticas basadas en identidad de IAM.
Temas
- Permitir a un usuario elaborar una lista con los grupos, los usuarios y las políticas de una cuenta, y más información para realizar informes
- Permitir a un usuario administrar la suscripción a un grupo
- Permitir a un usuario administrar usuarios de IAM
- Permitir a los usuarios definir la política de contraseñas de la cuenta
- Permitir a los usuarios generar y recuperar informes de credenciales de IAM
- Permitir todas las acciones de IAM (acceso de administrador)
Permitir a un usuario elaborar una lista con los grupos, los usuarios y las políticas de una cuenta, y más información para realizar informes
La siguiente política permite a los usuarios llamar a cualquier acción de IAM que empiece con la cadena Get o List, y generar informes. Para ver la política de ejemplo, consulte IAM: ermite el acceso de solo lectura a la consola de IAM.
Permitir a un usuario administrar la suscripción a un grupo
La siguiente política permite al usuario actualizar la suscripción al grupo denominado MarketingGroup. Para ver la política de ejemplo, consulte IAM: permite administrar la pertenencia a un grupo mediante programación y en la consola.
Permitir a un usuario administrar usuarios de IAM
La siguiente política permite a un usuario realizar todas las tareas asociadas con la administración de usuarios de IAM, pero no para realizar acciones en otras entidades, como, por ejemplo, crear grupos o políticas. Las acciones permitidas son:
-
Crear el usuario (la acción
CreateUser). -
Eliminar el usuario. Esta tarea requiere permisos para llevar a cabo las acciones siguientes:
DeleteSigningCertificate,DeleteLoginProfile,RemoveUserFromGroupyDeleteUser. -
Realizar una lista de los usuarios de la cuenta y de los grupos (las acciones
GetUser,ListUsersyListGroupsForUser). -
Realizar una lista y eliminar las políticas del usuario (las acciones
ListUserPolicies,ListAttachedUserPolicies,DetachUserPolicy,DeleteUserPolicy). -
Cambiar de nombre o cambiar la ruta para el usuario (la acción
UpdateUser). El elementoResourcedebe incluir un ARN que cubra la ruta de origen y la ruta de destino. Para obtener más información acerca de las rutas, consulte Nombres fáciles de recordar y rutas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowUsersToPerformUserActions", "Effect": "Allow", "Action": [ "iam:ListPolicies", "iam:GetPolicy", "iam:UpdateUser", "iam:AttachUserPolicy", "iam:ListEntitiesForPolicy", "iam:DeleteUserPolicy", "iam:DeleteUser", "iam:ListUserPolicies", "iam:CreateUser", "iam:RemoveUserFromGroup", "iam:AddUserToGroup", "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:PutUserPolicy", "iam:ListAttachedUserPolicies", "iam:ListUsers", "iam:GetUser", "iam:DetachUserPolicy" ], "Resource": "*" }, { "Sid": "AllowUsersToSeeStatsOnIAMConsoleDashboard", "Effect": "Allow", "Action": [ "iam:GetAccount*", "iam:ListAccount*" ], "Resource": "*" } ] }
Varios permisos incluidos en la política anterior permiten al usuario realizar tareas en la AWS Management Console. Los usuarios que realizan tareas relacionadas con el usuario solo desde la AWS CLIiam:ListAttachedUserPolicies. La lista exacta de permisos que un usuario requiere depende de las tareas que el usuario debe realizar mientras administra otros usuarios.
Los siguientes permisos de la política otorgan acceso al usuario a las tareas mediante la AWS Management Console:
-
iam:GetAccount* -
iam:ListAccount*
Permitir a los usuarios definir la política de contraseñas de la cuenta
Puede otorgar permisos a algunos usuarios para obtener y actualizar la política de contraseñas de su cuenta de Cuenta de AWS. Para ver la política de ejemplo, consulte IAM: permite establecer los requisitos de contraseña de la cuenta, mediante programación y en la consola.
Permitir a los usuarios generar y recuperar informes de credenciales de IAM
Puede otorgar permiso a los usuarios para generar y descargar un informe que contenga una lista de todos los usuarios de su cuenta de Cuenta de AWS. El informe también muestra el estado de las distintas credenciales del usuario, tales como las contraseñas, las claves de acceso, los dispositivos MFA y los certificados de firma. Para obtener más información sobre los informes de credenciales, consulte Obtención de informes de credenciales para su cuenta de Cuenta de AWS. Para ver la política de ejemplo, consulte IAM: generar y recuperar de informes de credenciales de IAM.
Permitir todas las acciones de IAM (acceso de administrador)
Es posible asignar a algunos usuarios permisos administrativos para llevar a cabo todas las acciones en IAM, incluida la administración de contraseñas, claves de acceso, dispositivos MFA y certificados de usuario. La siguiente política de ejemplo concede estos permisos.
aviso
Al ofrecer a un usuario acceso completo a IAM, no existe ningún límite en lo que respecta a los permisos que un usuario se puede otorgar a sí mismo o a otros. El usuario puede crear entidades de IAM (usuarios o roles) nuevas y otorgarles acceso completo a todos los recursos en su cuenta de Cuenta de AWS. Al ofrecer a un usuario acceso completo a IAM, está otorgándole acceso completo de forma eficaz a todos los recursos de su cuenta de Cuenta de AWS. Esto incluye el acceso para eliminar todos los recursos. Debe conceder estos permisos únicamente a los administradores de confianza y debe forzar la autenticación multifactor (MFA) para estos administradores.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "iam:*", "Resource": "*" } }
