Actualización de los permisos de un rol - AWS Identity and Access Management

Actualización de los permisos de un rol

Utilice los siguientes procedimientos para actualizar las políticas y los límites de permisos de un rol.

Requisito previo: ver el acceso del rol

Antes de cambiar los permisos para un rol, debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte Ajuste de permisos en AWS con información sobre los últimos accesos.

Actualizar la política de permisos para un rol

Para cambiar los permisos permitidos por el rol, modifique la política (o políticas) de permisos del rol. No se puede modificar la política de permisos de un rol vinculado a un servicio en IAM. Se podría modificar la política de permisos en el servicio que depende del rol. Para comprobar si un servicio admite esta característica, consulte Servicios de AWS que funcionan con IAM y busque los servicios con en la columna Roles vinculados a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Para cambiar los permisos de un rol (consola)
  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles.

  3. Elija el nombre del rol que desea modificar y, a continuación, la pestaña Permissions (Permisos).

  4. Realice una de las siguientes acciones siguientes:

    • Para editar una política administrada por el cliente ya existente, elija el nombre de la política y seleccione Edit policy (Editar política).

      nota

      No se puede editar una política administrada por AWS. Las políticas administradas de AWS aparecen con el icono AWS ( Orange cube icon indicating a policy is managed by AWS. ). Para obtener más información acerca de la diferencia entre las políticas administradas por AWS y las políticas administradas por el cliente, consulte Políticas administradas y políticas insertadas.

    • Para asociar una política administrada existente al rol, elija Add permissions (Agregar permisos) y luego Attach policies (Asociar políticas).

    • Para editar una política insertada existente, expándala y elija Edit (Editar).

    • Para integrar una nueva política insertada, elija Add permissions (Agregar permisos) y luego Create inline policy (Crear política insertada).

    • Para eliminar una política existente del rol, seleccione la casilla de verificación que se encuentra junto al nombre de la política y, a continuación, elija Eliminar.

Para cambiar los permisos permitidos por el rol, modifique la política (o políticas) de permisos del rol. No se puede modificar la política de permisos de un rol vinculado a un servicio en IAM. Se podría modificar la política de permisos en el servicio que depende del rol. Para comprobar si un servicio admite esta característica, consulte Servicios de AWS que funcionan con IAM y busque los servicios con en la columna Roles vinculados a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Para cambiar los permisos que permite un rol (AWS CLI)
  1. (Opcional) Para ver los permisos actuales asociados a un rol, ejecute los siguientes comandos:

    1. aws iam list-role-policies para obtener una lista de políticas insertadas

    2. aws iam list-attached-role-policies para obtener una lista de políticas administradas

  2. El comando para actualizar los permisos del rol varía en función de si se está actualizando una política administrada o una política insertada.

    Para actualizar una política administrada, ejecute el siguiente comando para crear una nueva versión de la política administrada:

    Para actualizar una política insertada, ejecute el siguiente comando:

Para cambiar los permisos permitidos por el rol, modifique la política (o políticas) de permisos del rol. No se puede modificar la política de permisos de un rol vinculado a un servicio en IAM. Se podría modificar la política de permisos en el servicio que depende del rol. Para comprobar si un servicio admite esta característica, consulte Servicios de AWS que funcionan con IAM y busque los servicios con en la columna Roles vinculados a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Para cambiar los permisos que permite un rol (API de AWS)
  1. (Opcional) Para ver los permisos actuales asociados a un rol, llame a las siguientes operaciones:

    1. ListRolePolicies para obtener una lista de políticas insertadas

    2. ListAttachedRolePolicies para obtener una lista de políticas administradas

  2. La operación para actualizar los permisos del rol varía en función de si se está actualizando una política administrada o una política insertada.

    Para actualizar una política administrada, llame a la siguiente operación para crear una nueva versión de la política administrada:

    Para actualizar una política insertada, llame a la siguiente operación:

Actualizar el límite de permisos para un rol

Para cambiar los permisos máximos permitidos para un rol, modifique el límite de permisos del rol.

Para cambiar la política que se utiliza para establecer el límite de permisos de un rol
  1. Inicie sesión en AWS Management Console Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles en el panel de navegación.

  3. Elija el nombre del rol con el límite de permisos que desea modificar.

  4. Elija la pestaña Permisos. Si es necesario, abra la sección Permissions boundary (Límite de permisos) y, a continuación, elija Change boundary (Cambiar límite).

  5. Seleccione la política que desea utilizar para el límite de permisos.

  6. Elija Change boundary (Cambiar límite).

    Los cambios no entrarán en vigor hasta la próxima vez que alguien asuma este rol.

Para cambiar la política administrada que se utiliza para establecer el límite de permisos de un rol (AWS CLI)
  1. (Opcional) Para ver el límite de permisos actual de un rol, ejecute el comando siguiente:

  2. Si desea utilizar una política administrada diferente para actualizar el límite de permisos de un rol, ejecute el comando siguiente:

    Un rol solo puede tener una política administrada configurada como límite de permisos. Si cambia el límite de permisos, también cambiará los permisos que puede tener un rol como máximo.

Para cambiar la política administrada que se utiliza para establecer el límite de permisos de un rol (API de AWS)
  1. (Opcional) Para ver el límite de permisos actual de un rol, llame a la operación siguiente:

  2. Si desea utilizar una política administrada diferente para actualizar el límite de permisos de un rol, llame a la operación siguiente:

    Un rol solo puede tener una política administrada configurada como límite de permisos. Si cambia el límite de permisos, también cambiará los permisos que puede tener un rol como máximo.