Administración de roles de IAM
Para que un usuario, una aplicación o un servicio pueda utilizar un rol que usted haya creado, debe conceder permisos para cambiar al rol. Puede utilizar cualquier política asociada a grupos o usuarios para otorgar los permisos necesarios. En esta sección se describe cómo se puede conceder a los usuarios el permiso para utilizar un rol. También explica cómo el usuario puede cambiar a un rol desde el AWS Management Console, Tools for Windows PowerShell, AWS Command Line Interface (AWS CLI) y el API de AssumeRole
.
importante
Cuando crea un rol mediante programación en lugar de hacerlo en la consola de IAM, tiene la opción de agregar un Path
de 512 caracteres como máximo además del RoleName
, que puede tener un máximo de 64 caracteres. Sin embargo, si desea utilizar un rol con la característica Cambiar rol en la consola de AWS Management Console, la combinación de Path
y RoleName
no puede superar los 64 caracteres.
Temas
- Ver Acceso de roles
- Generar una política basada en información de acceso
- Conceder a un usuario permisos para cambiar de rol
- Conceder permisos a un usuario para transferir un rol a un servicio de AWS
- Revocar las credenciales de seguridad temporales de un rol de IAM
- Actualizar un rol vinculado a servicios
- Actualizar una política de confianza de rol
- Actualizar los permisos de un rol
- Actualizar la configuración de un rol
- Eliminar roles o perfiles de instancia
Ver Acceso de roles
Antes de cambiar los permisos para un rol, debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte Ajuste de permisos en AWS con información sobre los últimos accesos.
Generar una política basada en información de acceso
A veces puede conceder permisos a una entidad de IAM (usuario o rol) de más allá de lo que requieren. Para ayudarle a refinar los permisos que concede, puede generar una política de IAM que esté basada en la actividad de acceso de una entidad. El analizador de acceso de IAM revisa los registros de AWS CloudTrail y genera una plantilla de política que contiene los permisos que ha utilizado la entidad en el intervalo de fechas especificado. Puede utilizar la plantilla para crear una política administrada con permisos detallados y, a continuación, adjuntarla a la entidad de IAM. De esta forma, solo concede los permisos que el usuario o rol necesita para interactuar con los recursos de AWS para su caso de uso específico. Para obtener más información, consulte Generación de políticas del Analizador de acceso de IAM.