Creación de un rol para una federación SAML 2.0 (consola) - AWS Identity and Access Management

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un rol para una federación SAML 2.0 (consola)

Puede utilizar la federación SAML 2.0 en lugar de crear usuarios de IAM en una cuenta de AWS. Con un proveedor de identidad (IdP), puede administrar sus identidades de usuario fuera de AWS y conceder permisos a estas identidades de usuarios externos para que tengan acceso a los recursos de AWS de su cuenta. Para obtener más información acerca de la identidad federada y los proveedores de identidad, consulte Federación y proveedores de identidades.

Requisitos previos para crear un rol para SAML

Para poder crear un rol de federación SAML 2.0, primero debe completar los siguientes pasos de requisitos previos:

Preparativos para crear un rol para la federación SAML 2.0

  1. Para poder crear un rol para una federación basada en SAML, debe crear un proveedor de SAML en IAM. Para obtener más información, consulte Creación de proveedores de identidad SAML de IAM.

  2. Prepare las políticas del rol que los usuarios autenticados por SAML 2.0 asumirán. Al igual que ocurre con cualquier otro rol, un rol para la federación SAML incluye dos políticas. Una es la política de confianza de rol que especifica quién puede asumir el rol. La otra es la política de permisos de IAM que especifica las acciones y los recursos de AWS a los que el usuario federado puede obtener acceso o se le deniega.

    Al crear la política de confianza para el rol, debe utilizar tres valores que garantizan que únicamente la aplicación puede asumir el rol:

    • En el elemento Action, use la acción sts:AssumeRoleWithSAML.

    • En el elemento Principal, use la cadena {"Federated":ARNofIdentityProvider}. Sustituya ARNofIdentityProvider por el ARN del proveedor de identidad SAML que ha creado en Paso 1.

    • En el elemento Condition, utilice una condición StringEquals para probar que el atributo saml:aud de la respuesta de SAML coincida con el punto de enlace de la federación SAML para AWS.

    La política de confianza del ejemplo siguiente está diseñada para un usuario federado de SAML:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRoleWithSAML", "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/PROVIDER-NAME"}, "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}} } }

    Sustituya el ARN del principal por el ARN real del proveedor SAML que ha creado en IAM. Tendrá su ID de cuenta y su nombre de proveedor.

Creación de un rol para SAML

Después de completar los pasos de los requisitos previos, puede a crear el rol para la federación basada en SAML.

Para crear un rol para la federación basada en SAML

  1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, seleccione Create role (Crear rol).

  3. Elija el tipo de rol SAML 2.0 federation.

  4. En SAML Provider (Proveedor SAML), elija el proveedor para el rol.

  5. Elija el método de nivel de acceso SAML 2.0.

    • Elija Allow programmatic access only (Permitir solo acceso mediante programación) para crear un rol que se pueda asumir mediante programación desde la API o la AWS CLI de AWS.

    • Elija Allow programmatic and Consola de administración de AWS access (Permitir el acceso mediante la consola y mediante programación) para crear un rol que pueda ser asumido mediante programación y desde la consola.

    Los roles creados con ambas opciones son similares, pero el rol que puede ser asumido desde la consola incluye una política de confianza con una condición particular. Dicha condición garantiza explícitamente que el público de SAML (atributo SAML:aud) esté establecido en el punto de enlace de inicio de sesión de AWS para SAML (https://signin.aws.amazon.com/saml).

  6. Si está creando un rol para el acceso mediante programación, elija un atributo en la lista Attribute (Atributo). A continuación, en el campo Value (Valor), escriba un valor para incluirlo en el rol. Esto restringe el acceso del rol a los usuarios del proveedor de identidad cuya respuesta de autenticación SAML (aserción) incluya los atributos que especifique. Debe especificar al menos un atributo para garantiza que el rol esté limitado a un subconjunto de usuarios de su organización.

    Si está creando una función para acceso programado y desde la consola, el atributo SAML:aud se añade y se establece automáticamente en la URL del punto de enlace de SAML de AWS (https://signin.aws.amazon.com/saml).

  7. Para añadir más condiciones relacionadas con el atributo a la política de confianza, elija Add condition (optional) (Añadir condición (opcional)), seleccione la condición adicional y especifique un valor.

    nota

    La lista incluye los atributos SAML utilizados con más frecuencia. IAM admite atributos adicionales que puede utilizar para crear condiciones. Para ver una lista de los atributos admitidos, consulte Claves disponibles para federaciones SAML. Si necesita una condición para un atributo SAML admitido que no se muestra en la lista, puede añadir manualmente dicha condición. Para ello, edite la política de confianza después de crear el rol.

  8. Revise la información de confianza SAML 2.0 y, a continuación, seleccione Next: Permissions (Siguiente: Permisos).

  9. IAM incluye una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de cada cuenta. Seleccione la política que desea usar como política de permisos o elija Create policy (Crear política) para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte el paso 4 del procedimiento Creación de políticas de IAM. Después de crear la política, cierre esa pestaña y vuelva a la pestaña original. Seleccione la casilla situada junto a las políticas de permisos que desea conceder a los usuarios de identidades web. Si lo prefiere, puede optar por no seleccionar ninguna política en ese momento y asociar las políticas al rol más adelante. De forma predeterminada, un rol no tiene permisos.

  10. (Opcional) Configure un límite de permisos. Esta es una característica avanzada.

    Abra la sección Set permissions boundary (Configurar límite de permisos) y elija Use a permissions boundary to control the maximum role permissions (Utilizar un límite de permisos para controlar los permisos que puede tener el rol como máximo). Seleccione la política que desea utilizar para el límite de permisos.

  11. Elija Next: Tags (Siguiente: Etiquetas).

  12. (Opcional) Añada metadatos al rol asociando las etiquetas como pares de clave–valor. Para obtener más información acerca del uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM.

  13. Elija Next: Review.

  14. En Role name (Nombre del rol), escriba el nombre del rol. Los nombres de rol deben ser únicos en su cuenta de AWS. No se distingue por caso. Por ejemplo, no puede crear funciones denominado tanto PRODROLE y prodrole. Dado que es posible que otros recursos de AWS hagan referencia al rol, no se puede editar el nombre del rol después de crearlo.

  15. (Opcional) En Role descripción, escriba una descripción para la nueva función.

  16. Revise el rol y, a continuación, seleccione Create role.

Después de crear el rol, complete la relación de confianza de SAML configurando su software de proveedor de identidad con información sobre AWS. Esta información incluye los roles que desea que utilicen los usuarios federados. Esto se denomina configuración de la relación de confianza entre su proveedor de identidad y AWS. Para obtener más información, consulte Configuración de una relación de confianza para usuario autenticado y agregación de notificaciones en el proveedor de identidades SAML 2.0.