Términos y conceptos de roles - AWS Identity and Access Management

Términos y conceptos de roles

A continuación se muestran algunos términos básicos para ayudarle a comenzar con el uso de los roles.

Rol

Una identidad de IAM que se puede crear en una cuenta y que tiene permisos específicos. Un rol de IAM tiene algunas similitudes con un usuario de IAM. Los roles y los usuarios son identidades de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol.

Las siguientes opciones pueden utilizar los roles:

  • Un usuario de IAM de la misma Cuenta de AWS que el rol

  • Un usuario de IAM de una Cuenta de AWS distinta de la del rol

  • Un servicio web que ofrece AWS como Amazon Elastic Compute Cloud (Amazon EC2)

  • Un usuario externo autenticado por un servicio de proveedor de identidad (IdP) externo que sea compatible con SAML 2.0 u OpenID Connect, o un agente de identidades personalizado.

Rol de servicio de AWS

Un rol de servicio es un rol de IAM que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para más información, consulte Creación de un rol para delegar permisos a un AWS service en la Guía del usuario de IAM.

Rol de servicio de AWS para una instancia de EC2

Un tipo especial de función de servicio que una aplicación que se ejecuta en una instancia de Amazon EC2 puede asumir para realizar acciones en una cuenta. Este rol se asigna a la instancia EC2 cuando se lanzó. Las aplicaciones que se ejecutan en dicha instancia pueden recuperar las credenciales de seguridad temporales y llevar a cabo las acciones que permite el rol. Para obtener más información sobre el uso de un rol de servicio para una instancia EC2, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2.

Rol vinculado a servicio de AWS

Un rol vinculado al servicio es un tipo de rol de servicio que está vinculado a un AWS service. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.

nota

Si ya está utilizando un servicio cuando comienza a admitir roles vinculados a servicios, es posible que reciba un mensaje de correo electrónico anunciándole la adición de un nuevo rol en su cuenta. En este caso, el servicio crea automáticamente el rol vinculado a sí mismo en su cuenta. No es necesario realizar ninguna acción para admitir este rol y no debe eliminarlo manualmente. Para obtener más información, consulte Un nuevo rol ha aparecido en la cuenta de AWS.

Para obtener información sobre los servicios que admiten el uso de roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que tengan Yes en la columna Service-Linked Role. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión. Para obtener más información, consulte Uso de roles vinculados a servicios.

Encadenamiento de roles

El encadenamiento de roles se produce cuando se utiliza un rol para asumir un segundo rol a través de la AWS CLI o la API. Por ejemplo, RoleA tiene permiso para asumir RoleB. Puede permitir a User1 que asuma el RoleA al utilizar las credenciales de usuario a largo plazo en la operación de la API AssumeRole. Esto devuelve las credenciales a corto plazo de RoleA. Para utilizar el encadenamiento de roles, puede emplear las credenciales a corto plazo de RoleA para permitir a User1 que asuma el RoleB.

Cuando asume un rol, puede pasar una etiqueta de sesión y establecer la etiqueta como transitiva. Las etiquetas de sesión transitivas se pasan a todas las sesiones posteriores de una cadena de roles. Para obtener más información sobre las etiquetas de sesión, consulte Transferencia de etiquetas de sesión en AWS STS.

El encadenamiento de roles limita la duración de la sesión de rol de la API de AWS CLI o AWS a un máximo de una hora. Cuando utilice la operación API AssumeRole para asumir un rol, puede especificar la duración de la sesión de su rol con el parámetro DurationSeconds. Puede especificar un valor de parámetro de hasta 43200 segundos (12 horas), en función del valor de la duración máxima de la sesión del rol. Sin embargo, si se asume un rol mediante el encadenamiento de roles y se proporciona un valor para el parámetro DurationSeconds superior a una hora, la operación produce un error.

AWS no trata el uso de roles para conceder permisos a las aplicaciones que se ejecutan en instancias EC2 como encadenamiento de roles.

Delegación

Es la concesión de permisos a alguien para que obtenga acceso a los recursos que estén bajo su control. La delegación implica establecer una relación de confianza entre dos cuentas. La primera es la cuenta que posee el recurso (la cuenta que confía). El segundo es la cuenta que contiene los usuarios que necesitan acceder al recurso (la cuenta de confianza). Las cuentas de confianza y que confía pueden ser cualquiera de las siguientes:

  • La misma cuenta.

  • Dos cuentas distintas que están bajo el control de la organización.

  • Dos cuentas que son propiedad de diferentes organizaciones.

Para delegar el permiso para obtener acceso a un recurso, cree un rol de IAM en la cuenta que confía. Este rol debe tener dos políticas asociadas. La política de permisos concede al usuario del rol los permisos necesarios para realizar las tareas previstas en el recurso. La política de confianza especifica los miembros de la cuenta de confianza que pueden asumir el rol.

Al crear una política de confianza, no puede especificar un comodín (*) como parte de un ARN en la entidad principal. La política de confianza se asocia al rol de la cuenta que confía, y supone la mitad de los permisos. La otra mitad es una política de permisos asociada al usuario de la cuenta de confianza que permite a dicho usuario cambiar al rol o asumirlo. Un usuario que asume un rol renuncia temporalmente a sus permisos y, en su lugar, asume los permisos del rol. Si el usuario se desconecta o deja de utilizar el rol, los permisos originales del usuario se restablecerán. Un parámetro adicional denominado ID externo garantiza el uso seguro de roles entre cuentas no controladas por la misma organización.

Federación

La creación de una relación de confianza entre un proveedor de identidad externo y AWS. Los usuarios pueden iniciar sesión en un proveedor OIDC, tales como Inicio de sesión con Amazon, Facebook, Google o cualquier proveedor de identidad (IdP) que sea compatible con OpenID Connect (OIDC). Los usuarios también pueden iniciar sesión en un sistema de identidad empresarial que sea compatible con Security Assertion Markup Language (SAML) 2.0, como Microsoft Active Directory Federation Services. Cuando se utiliza OIDC y SAML 2.0 para configurar una relación de confianza entre estos proveedores de identidad externos y AWS, el usuario se asigna a un rol de IAM. El usuario también recibe credenciales temporales que le permiten tener acceso a los recursos de AWS.

Usuario federado

En lugar de crear un usuario de IAM, puede utilizar identidades existentes de AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor OIDC. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles.

Política de confianza

Un documento de política JSON en el que se definen las entidades principales en las que confía para asumir el rol. Una política de confianza de rol es una política basada en recursos requerida que se adjunta a un rol en IAM. Las entidades principales que puede especificar en la política de confianza incluyen usuarios, roles, cuentas y servicios.

Política de permisos

Un documento de permisos en formato JSON en el que define qué acciones y recursos puede utilizar el rol. El documento se redacta según las reglas del lenguaje de la política de IAM.

Límite de permisos

Una característica avanzada que le permite utilizar políticas para limitar los permisos máximos que una política basada en identidad puede conceder a un rol. No se puede aplicar un límite de permisos a un rol vinculado a un servicio. Para obtener más información, consulte Límites de permisos para las entidades de IAM.

Entidad principal

Una entidad de AWS que puede realizar acciones y obtener acceso a los recursos. Una entidad principal puede ser un Usuario raíz de la cuenta de AWS, un usuario de IAM o un rol. Puede conceder permisos para obtener acceso a un recurso de una de las dos formas siguientes:

  • Puede asociar una política de permisos a un usuario (directa o indirectamente a través de un grupo) o a un rol.

  • Para dichos servicios que admiten políticas basadas en recursos, puede identificar la entidad principal del elemento Principal de una política asociada al recurso.

Si hace referencia a una Cuenta de AWS como entidad principal, por lo general esto significa cualquier entidad principal definida en dicha cuenta.

nota

No puede usar un comodín (*) para hacer coincidir parte de un nombre de una entidad principal o ARN en la política de confianza de un rol. Para obtener más información, consulte Elemento de la política de JSON de AWS: Principal.

Rol para acceso entre cuentas

Un rol que concede acceso a los recursos de una cuenta a una entidad principal de confianza de otra cuenta. Los roles son la forma principal de conceder acceso entre cuentas. Sin embargo, algunos servicios de AWS permiten asociar una política directamente a un recurso (en lugar de utilizar un rol como proxy). Estas se denominan políticas basadas en recursos y puede utilizarlas para conceder a las entidades principales de otra Cuenta de AWS acceso al recurso. Algunos de estos recursos incluyen buckets de Amazon Simple Storage Service (S3), bóvedas de S3 Glacier, temas de Amazon Simple Notification Service (SNS) y colas de Amazon Simple Queue Service (Amazon SQS). Para saber qué servicios admiten políticas basadas en recursos, consulte Servicios de AWS que funcionan con IAM. Para obtener más información sobre las políticas basadas en recursos, consulte Acceso a recursos entre cuentas en IAM.