Actualizar una política de confianza de rol - AWS Identity and Access Management

Actualizar una política de confianza de rol

Para cambiar quién puede asumir un rol, debe modificar la política de confianza del rol. No se puede modificar la política de confianza de un rol vinculado a un servicio.

Notas
  • Si un usuario identificado como entidad principal de una política de confianza de un rol no puede asumir ese rol, compruebe el límite de permisos del usuario. Si hay definido un límite de permisos para el usuario, el límite deberá permitir la acción sts:AssumeRole.

  • Para permitir que los usuarios vuelvan a asumir el rol actual dentro de una sesión de rol, especifique el ARN del rol o el ARN de la Cuenta de AWS como entidad principal en la política de confianza de rol. Los Servicios de AWS que proporcionan recursos de computación, como Amazon EC2, Amazon ECS, Amazon EKS y Lambda, brindan credenciales temporales y las actualizan automáticamente. Esto garantiza que siempre disponga de un conjunto de credenciales válido. Para estos servicios, no es necesario volver a asumir el rol actual a fin de obtener credenciales temporales. Sin embargo, si tiene la intención de aprobar etiquetas de sesión o una política de sesión, tendrá que volver a asumir el rol actual.

Actualización de una política de confianza de rol (consola)

Cambio de una política de confianza de rol en la AWS Management Console
  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles.

  3. En la lista de roles de su cuenta, elija el nombre del rol que desee modificar.

  4. Elija la pestaña Relaciones de confianza y, a continuación, Editar política de confianza.

  5. Edite la política de confianza según sea necesario. Para añadir entidades principales adicionales que puedan asumir el rol, especifíquelas en el elemento Principal. Por ejemplo, el siguiente fragmento de política muestra cómo hacer referencia a dos Cuentas de AWS en el elemento Principal:

    "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },

    Si especifica una entidad principal de otra cuenta, el hecho de añadir una cuenta a la política de confianza de un rol solo es una parte del establecimiento de una relación de confianza entre cuentas. De forma predeterminada, ningún usuario de las cuentas de confianza puede asumir el rol. El administrador de la cuenta en la que se acaba de establecer la relación de confianza debe conceder a los usuarios permiso para asumir el rol. Para ello, el administrador debe crear o editar una política que esté asociada al usuario para permitirle a este el acceso a la acción sts:AssumeRole. Para obtener más información, consulte el siguiente procedimiento o Conceder a un usuario permisos para cambiar de rol.

    El siguiente fragmento de política muestra cómo hacer referencia a dos servicios de AWS en el elemento Principal:

    "Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] },
  6. Cuando haya terminado de editar la política de confianza, elija Update policy (Actualizar política) para guardar los cambios.

    Para obtener más información sobre la estructura y la sintaxis de la política, consulte las secciones Políticas y permisos en AWS Identity and Access Management y Referencia de los elementos de la política de JSON de IAM.

Para permitir que los usuarios de una cuenta externa de confianza utilicen el rol (consola)

Para obtener más información y detalles sobre este procedimiento, consulte Conceder a un usuario permisos para cambiar de rol.

  1. Inicie sesión en la Cuenta de AWS externa de confianza.

  2. Decida si desea asociar los permisos a un usuario o a un grupo. En el panel de navegación de la consola de IAM, elija Users (Usuarios) o User groups (Grupos de usuarios) según corresponda.

  3. Elija el nombre del usuario o el grupo al que desea conceder acceso y, a continuación, elija la pestaña Permissions (Permisos).

  4. Realice una de las siguientes acciones siguientes:

    • Para editar una política administrada por el cliente, elija el nombre de la política, elija Edit policy (Editar política) y, a continuación, elija la pestaña JSON. No se puede editar una política administrada por AWS. Las políticas administradas de AWS aparecen con el icono AWS ( Orange cube icon indicating a policy is managed by AWS. ). Para obtener más información acerca de la diferencia entre las políticas administradas por AWS y las políticas administradas por el cliente, consulte Políticas administradas y políticas insertadas.

    • Para editar una política insertada, seleccione la flecha que aparece junto al nombre de la política y elija Edit Policy (Editar política).

  5. En el editor de políticas, añada un elemento Statement nuevo que especifique lo siguiente:

    { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }

    Reemplace el ARN de la instrucción por el ARN del rol que el usuario puede asumir.

  6. Siga las indicaciones que aparecen en pantalla para terminar de editar la política.

Actualización de una política de confianza de rol (AWS CLI)

Puede utilizar la AWS CLI para cambiar quién puede asumir un rol.

Para modificar una política de confianza de rol (AWS CLI)
  1. (Opcional) Si no conoce el nombre del rol que desea modificar, ejecute el siguiente comando para ver una lista de los roles de la cuenta:

  2. (Opcional) Para ver la política de confianza actual de un rol, ejecute el siguiente comando:

  3. Para modificar las entidades principales de confianza que pueden obtener acceso al rol, cree un archivo de texto con la política de confianza actualizada. Puede utilizar cualquier editor de texto para crear la política.

    Por ejemplo, la política de confianza siguiente muestra cómo hacer referencia a dos Cuentas de AWS en el elemento Principal. Esto permite a los usuarios de dos Cuentas de AWS independientes asumir este rol.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }

    Si especifica una entidad principal de otra cuenta, el hecho de añadir una cuenta a la política de confianza de un rol solo es una parte del establecimiento de una relación de confianza entre cuentas. De forma predeterminada, ningún usuario de las cuentas de confianza puede asumir el rol. El administrador de la cuenta en la que se acaba de establecer la relación de confianza debe conceder a los usuarios permiso para asumir el rol. Para ello, el administrador debe crear o editar una política que esté asociada al usuario para permitirle a este el acceso a la acción sts:AssumeRole. Para obtener más información, consulte el siguiente procedimiento o Conceder a un usuario permisos para cambiar de rol.

  4. Si desea utilizar el archivo que acaba de crear para actualizar la política de confianza, ejecute el siguiente comando:

Para permitir que los usuarios de una cuenta externa de confianza utilicen el rol (AWS CLI)

Para obtener más información y detalles sobre este procedimiento, consulte Conceder a un usuario permisos para cambiar de rol.

  1. Cree un archivo JSON que contenga una política de permisos que conceda permisos para asumir el rol. Por ejemplo, la política siguiente contiene los permisos mínimos necesarios:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }

    Reemplace el ARN de la instrucción por el ARN del rol que el usuario puede asumir.

  2. Ejecute el siguiente comando para cargar el archivo JSON que contiene la política de confianza en IAM:

    La salida de este comando incluye el ARN de la política. Anote este ARN, ya que tendrá que utilizarlo en un paso posterior.

  3. Decida a qué usuario o grupo asociará la política. Si no conoce el nombre del usuario o el grupo en cuestión, ejecute uno de los comandos siguientes para mostrar una lista de los usuarios o grupos de la cuenta:

  4. Ejecute uno de los siguientes comandos para asociar la política que ha creado en el paso anterior al usuario o al grupo:

Actualización de una política de confianza de rol (API de AWS)

Puede utilizar la API de AWS para cambiar quién puede asumir un rol.

Para modificar una política de confianza de rol (API de AWS)
  1. (Opcional) Si no conoce el nombre del rol que desea modificar, llame a la siguiente operación para ver una lista de los roles de la cuenta:

  2. (Opcional) Para ver la política de confianza actual de un rol, llame a la siguiente operación:

  3. Para modificar las entidades principales de confianza que pueden obtener acceso al rol, cree un archivo de texto con la política de confianza actualizada. Puede utilizar cualquier editor de texto para crear la política.

    Por ejemplo, la política de confianza siguiente muestra cómo hacer referencia a dos Cuentas de AWS en el elemento Principal. Esto permite a los usuarios de dos Cuentas de AWS independientes asumir este rol.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }

    Si especifica una entidad principal de otra cuenta, el hecho de añadir una cuenta a la política de confianza de un rol solo es una parte del establecimiento de una relación de confianza entre cuentas. De forma predeterminada, ningún usuario de las cuentas de confianza puede asumir el rol. El administrador de la cuenta en la que se acaba de establecer la relación de confianza debe conceder a los usuarios permiso para asumir el rol. Para ello, el administrador debe crear o editar una política que esté asociada al usuario para permitirle a este el acceso a la acción sts:AssumeRole. Para obtener más información, consulte el siguiente procedimiento o Conceder a un usuario permisos para cambiar de rol.

  4. Si desea utilizar el archivo que acaba de crear para actualizar la política de confianza, llame a la operación siguiente:

Para permitir que los usuarios de una cuenta externa de confianza utilicen el rol (API de AWS)

Para obtener más información y detalles sobre este procedimiento, consulte Conceder a un usuario permisos para cambiar de rol.

  1. Cree un archivo JSON que contenga una política de permisos que conceda permisos para asumir el rol. Por ejemplo, la política siguiente contiene los permisos mínimos necesarios:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }

    Reemplace el ARN de la instrucción por el ARN del rol que el usuario puede asumir.

  2. Llame a la operación siguiente para cargar el archivo JSON que contiene la política de confianza en IAM:

    La salida de esta operación incluye el ARN de la política. Anote este ARN, ya que tendrá que utilizarlo en un paso posterior.

  3. Decida a qué usuario o grupo asociará la política. Si no conoce el nombre del usuario o el grupo en cuestión, llame a una de las operaciones siguientes para mostrar una lista de los usuarios o grupos de la cuenta:

  4. Llame a una de las operaciones siguientes para asociar la política que ha creado en el paso anterior al usuario o al grupo: