AWS Identity and Access Management
Guía del usuario

Términos y conceptos de roles

A continuación se muestran algunos términos básicos para ayudarle a comenzar con el uso de los roles.

Rol

Una identidad de IAM que se puede crear en una cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM, ya que se trata de una identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer o no en AWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol.

Las siguientes opciones pueden utilizar los roles:

  • Un usuario de IAM de la misma cuenta de AWS que el rol

  • Un usuario de IAM de una cuenta de AWS distinta de la del rol

  • Un servicio web que ofrece AWS, como Amazon Elastic Compute Cloud (Amazon EC2)

  • Un usuario externo autenticado por un servicio de proveedor de identidad (IdP) externo que sea compatible con SAML 2.0 u OpenID Connect, o un agente de identidades personalizado.

Rol de servicio de AWS

Un rol que un servicio asume para realizar acciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS, debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles de servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando se cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solo dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede crear, modificar y eliminar un rol de servicio desde IAM.

Rol de servicio de AWS para una instancia EC2

Un tipo especial de rol de servicio que una aplicación que se ejecuta en una instancia Amazon EC2 puede asumir para realizar acciones en una cuenta. Este rol se asigna a la instancia EC2 cuando se lanzó. Las aplicaciones que se ejecutan en dicha instancia pueden recuperar las credenciales de seguridad temporales y llevar a cabo las acciones que permite el rol. Para obtener más información sobre el uso de un rol de servicio para una instancia EC2, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2.

Rol vinculado a servicio de AWS

Un tipo único de rol de servicio que está vinculado directamente a un servicio de AWS. Los roles vinculados a servicios son predefinidos por el servicio e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre. El servicio vinculado también define cómo crear, modificar y eliminar un rol vinculado a un servicio. Un servicio podría crear el rol automáticamente o eliminarlo. Podría permitirle crear, modificar o eliminar el rol como parte de un asistente o proceso del servicio. También podría exigir que utilice IAM para crear o eliminar el rol. Independientemente del método, los roles vinculados a servicios simplifican la configuración de un servicio porque ya no tendrá que añadir manualmente los permisos necesarios.

nota

Si ya está utilizando un servicio cuando comienza a admitir roles vinculados a servicios, es posible que reciba un mensaje de correo electrónico en el que se le informe acerca de un nuevo rol en su cuenta. En este caso, el servicio crea automáticamente el rol vinculado a sí mismo en su cuenta. No es necesario realizar ninguna acción para admitir este rol y no debe eliminarlo manualmente. Para obtener más información, consulte Un nuevo rol ha aparecido en la cuenta de AWS.

Para obtener información sobre los servicios que admiten el uso de roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que tengan Yes en la columna Service-Linked Role. Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión. Si el servicio no incluye documentación acerca de cómo crear, modificar o eliminar el rol vinculado al servicio, puede utilizar la IAM, la API o la consola de AWS CLI. Para obtener más información, consulte Usar roles vinculados a servicios.

Encadenamiento de roles

El encadenamiento de roles se produce cuando se utiliza un rol para asumir un segundo rol a través de la AWS CLI o la API. Por ejemplo, supongamos que User1 tiene permiso para asumir RoleA y RoleB. Además, RoleA tiene permiso para asumir RoleB. Puede asumir RoleA utilizando las credenciales de usuario a largo plazo de User1 en la operación AssumeRole de la API. Esta operación devuelve las credenciales a corto plazo de RoleA. Para utilizar el encadenamiento de roles, puede emplear las credenciales a corto plazo de RoleA para asumir el RoleB.

El encadenamiento de roles limita la duración de la sesión de rol de la API o de la AWS CLI a un máximo de una hora. Cuando utilice la operación API AssumeRole para asumir un rol, puede especificar la duración de la sesión de su rol con el parámetro DurationSeconds. Puede especificar un valor de parámetro de hasta 43200 segundos (12 horas), en función del valor de la duración máxima de la sesión del rol. Sin embargo, si se asume un rol mediante el encadenamiento de roles y se proporciona un valor para el parámetro DurationSeconds superior a una hora, la operación produce un error.

Delegación

Es la concesión de permisos a alguien para que obtenga acceso a los recursos que estén bajo su control. La delegación implica la creación de un marco de confianza entre la cuenta que posee el recurso (la cuenta que confía) y la cuenta que incluye los usuarios que deben obtener acceso al recurso (la cuenta de confianza). Las cuentas de confianza y que confía pueden ser cualquiera de las siguientes:

  • La misma cuenta.

  • Dos cuentas distintas que están bajo el control de la organización.

  • Dos cuentas que son propiedad de diferentes organizaciones.

Para delegar el permiso para obtener acceso a un recurso, cree un rol de IAM en la cuenta que confía. Este rol debe tener dos políticas asociadas. La política de permisos concede al usuario del rol los permisos necesarios para realizar las tareas previstas en el recurso. La política de confianza especifica los miembros de la cuenta de confianza que pueden asumir el rol.

Al crear una política de confianza, no puede especificar un asterisco (*) como principal. La política de confianza se asocia al rol de la cuenta que confía, y supone la mitad de los permisos. La otra mitad es una política de permisos asociada al usuario de la cuenta de confianza que permite a dicho usuario cambiar al rol o asumirlo. Un usuario que asume un rol renuncia temporalmente a sus permisos y, en su lugar, asume los permisos del rol. Si el usuario se desconecta o deja de utilizar el rol, los permisos originales del usuario se restablecerán. Un parámetro adicional denominado ID externo garantiza el uso seguro de roles entre cuentas no controladas por la misma organización.

Federación

La creación de una relación de confianza entre un proveedor de identidad externo y AWS. Los usuarios pueden iniciar sesión en un proveedor de identidad web, tales como Login with Amazon, Facebook, Google o cualquier proveedor de identidad (IdP) que sea compatible con OpenID Connect (OIDC). Los usuarios también pueden iniciar sesión en un sistema de identidad empresarial que sea compatible con Security Assertion Markup Language (SAML) 2.0, como Microsoft Active Directory Federation Services. Cuando se utiliza OIDC y SAML 2.0 para configurar una relación de confianza entre estos proveedores de identidad externos y AWS, el usuario se asigna a un rol de IAM. El usuario también recibe credenciales temporales que le permiten tener acceso a los recursos de AWS.

Usuario federado

En lugar de crear un usuario de IAM, puede utilizar identidades existentes de AWS Directory Service, del directorio de usuarios de la compañía o de un proveedor de identidades web. A estas identidades se les llama usuarios federados. AWS asigna un rol a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

Política de confianza

Un documento en formato JSON en el que define quién tiene permiso para asumir el rol. Esta entidad de confianza se incluye en la política como el elemento principal del documento. El documento se redacta según las reglas del lenguaje de la política de IAM.

Política de permisos

Un documento de permisos en formato JSON en el que define qué acciones y recursos puede utilizar el rol. El documento se redacta según las reglas del lenguaje de la política de IAM.

Límite de permisos

Una característica avanzada que le permite utilizar políticas para limitar los permisos máximos que una política basada en identidad puede conceder a un rol. No se puede aplicar un límite de permisos a un rol vinculado a un servicio. Para obtener más información, consulte Límites de permisos para las entidades de IAM.

Principal

Una entidad de AWS que puede realizar acciones y obtener acceso a los recursos. Una entidad principal puede ser un Usuario de la cuenta raíz de AWS, un usuario de IAM o un rol. Puede conceder permisos para obtener acceso a un recurso de una de las dos formas siguientes:

  • Puede asociar una política de permisos a un usuario (directa o indirectamente a través de un grupo) o a un rol.

  • Para dichos servicios que admiten políticas basadas en recursos, puede identificar la entidad principal del elemento Principal de una política asociada al recurso.

Si hace referencia a una cuenta de AWS como entidad principal, por lo general esto significa cualquier entidad principal definida en dicha cuenta.

nota

No puede utilizar un carácter comodín (*) en el elemento Principal de una política de confianza de un rol.

Rol para acceso entre cuentas

Un rol que concede acceso a los recursos de una cuenta a una entidad principal de confianza de otra cuenta. Los roles son la forma principal de conceder acceso entre cuentas. Sin embargo, algunos servicios de AWS permiten asociar una política directamente a un recurso (en lugar de utilizar un rol como proxy). Estas se denominan políticas basadas en recursos y puede utilizarlas para conceder a las entidades principales de otra cuenta de AWS acceso al recurso. Los siguientes servicios admiten políticas basadas en recursos para los recursos especificados: buckets de Amazon Simple Storage Service (S3), almacenes de Glacier, temas de Amazon Simple Notification Service (SNS) y colas de Amazon Simple Queue Service (SQS). Para obtener más información, consulte Cómo los roles de IAM difieren de las políticas basadas en recursos.