Proporcionar acceso a las cuentas de AWS propiedad de terceros - AWS Identity and Access Management

Proporcionar acceso a las cuentas de AWS propiedad de terceros

Cuando terceros necesitan obtener acceso a recursos de AWS de su organización, puede utilizar roles para delegarles el acceso. Por ejemplo, puede que un tercero proporcione un servicio de administración de sus recursos de AWS. Con los roles de IAM, puede concederle acceso a sus recursos de AWS a terceros sin tener que compartir sus credenciales de seguridad de AWS. En vez de ello, el tercero puede obtener acceso a sus recursos de AWS asumiendo un rol que usted crea en su cuenta de AWS. Consulte ¿Qué es IAM Access Analyzer? para saber si las entidades principales de las cuentas fuera de su zona de confianza (cuenta u organización de confianza) tienen acceso para asumir sus roles.

Los terceros deben proporcionarle la siguiente información para que pueda crear un rol que puedan asumir:

  • El ID de cuenta de AWS del tercero. Especifique su ID de cuenta de AWS como principal cuando defina la política de confianza del rol.

  • Un ID externo para la asociación exclusiva con el rol. El ID externo puede ser cualquier identificador secreto que usted y el tercero conozcan. Por ejemplo, puede utilizar un ID de factura entre usted y el tercero, pero no utilice nada que pueda adivinarse, como el nombre o el número de teléfono del tercero. Debe especificar este ID cuando defina la política de confianza del rol. El tercero debe proporcionar este ID cuando asuma el rol. Para obtener más información acerca del ID externo, consulte Cómo utilizar un ID externo al otorgar acceso a los recursos de AWS a terceros.

  • Los permisos que el tercero necesita para poder trabajar con sus recursos de AWS. Debe especificar estos permisos cuando defina la política de permisos del rol. Esta política define qué acciones pueden ejecutar y a qué recursos pueden obtener acceso.

Después de crear el rol, debe proporcionar el nombre de recurso de Amazon (ARN) del rol al tercero. El ARN del rol es necesario para asumir el rol.

Para obtener más información sobre cómo crear un rol para delegar el acceso a tercero, consulte Cómo utilizar un ID externo al otorgar acceso a los recursos de AWS a terceros.

importante

Cuando concede acceso a terceros a sus recursos de AWS, estos pueden obtener acceso a cualquier recurso que especifique en la política. El uso que efectúen de sus recursos se le facturará a usted. Asegúrese de que limita el uso de los recursos de forma adecuada.