Cambio de los permisos de un usuario de IAM

Puede modificar los permisos de un usuario de IAM de una Cuenta de AWS cambiando su pertenencia a grupos, copiando los permisos de un usuario existente, asociando políticas directamente al usuario o definiendo un límite de permisos. Un límite de permisos controla los permisos que puede tener un usuario como máximo. Los límites de permisos son una característica avanzada de AWS.

Para obtener información sobre los permisos que necesita para poder modificar los permisos de un usuario, consulte Permisos obligatorios para obtener acceso a recursos de IAM.

Ver acceso de usuario

Antes de cambiar los permisos para un usuario, debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte Ajuste de permisos en AWS con información sobre los últimos accesos.

Generar una política basada en la actividad de acceso de un usuario

A veces puede conceder permisos a una entidad de IAM (usuario o rol) de más allá de lo que requieren. Para ayudarle a refinar los permisos que concede, puede generar una política de IAM que esté basada en la actividad de acceso de una entidad. El analizador de acceso de IAM revisa los registros de AWS CloudTrail y genera una plantilla de política que contiene los permisos que ha utilizado la entidad en el intervalo de fechas especificado. Puede utilizar la plantilla para crear una política administrada con permisos detallados y, a continuación, adjuntarla a la entidad de IAM. De esta forma, solo concede los permisos que el usuario o rol necesita para interactuar con los recursos de AWS para su caso de uso específico. Para obtener más información, consulte Generación de políticas del Analizador de acceso de IAM.

Adición de permisos a un usuario (consola)

IAM ofrece de tres formas de agregar políticas de permisos a un usuario:

• Agregar al usuario de IAM a un grupo de IAM: Convierta al usuario en miembro de un grupo. Las políticas del grupo se asocian al usuario.

• Copiar los permisos de un usuario de IAM existente: Copie todas las suscripciones a grupos, las políticas administradas asociadas, las políticas insertadas y todos los límites de permisos existentes del usuario de origen.

• Adjuntar políticas directamente al usuario de IAM: Adjunte una política administrada directamente al usuario. Para facilitar la administración de permisos, adjunte sus políticas a un grupo y, a continuación, haga a los usuarios de IAM miembros de los grupos apropiados.

importante

Si el usuario tiene un límite de permisos, no se pueden añadir permisos al usuario por encima de los que autoriza este límite.

Cómo agregar permisos mediante la adición del usuario de IAM a un grupo

Cuando se añade un usuario de IAM a un grupo de IAM, se actualizan inmediatamente los permisos del usuario con los permisos definidos para el grupo.

IAM console

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

2. En la página principal de la consola, seleccione el servicio de IAM.

3. En el panel de navegación, seleccione Usuarios.

4. En la lista Users (Usuarios), elija el nombre de usuario de IAM.

5. Seleccione la pestaña Grupos para ver la lista de grupos que incluyen al usuario actual.

6. Elija Añadir usuario al grupo o grupos.

7. Seleccione la casilla de verificación de todos los grupos a los que desee que el usuario pertenezca. La lista muestra el nombre de cada grupo y las políticas que el usuario recibe si pasa a ser miembro de ese grupo.

8. (Opcional) Puede seleccionar Crear grupo para definir un grupo nuevo. Esto resulta útil si desea añadir al usuario a un grupo con políticas adjuntas diferentes a las de los grupos existentes:

   1. En la pestaña nueva, en Nombre del grupo de usuarios, escriba un nombre para el grupo nuevo.

      nota

      El número y el tamaño de recursos de IAM en una cuenta de AWS son limitados. Para obtener más información, consulte IAM y cuotas de AWS STS. Los nombres de grupo pueden ser una combinación de un máximo de 128 letras, dígitos y los siguientes caracteres: más (+), igual (=), coma (,), punto (.), arroba (@) y guion (-). Los nombres deben ser únicos dentro de una cuenta. No distinguen entre mayúsculas y minúsculas. Por ejemplo, no puede crear dos grupos llamados TESTGROUP y testgroup.

   2. Seleccione una o varias casillas de verificación para las políticas administradas que desea asociar al grupo. También puede crear una política administrada nueva eligiendo Create policy (Crear política). Si lo hace, vuelva a esta ventana o pestaña del navegador cuando haya acabado de crear la política nueva; elija Refresh (Actualizar) y, a continuación, elija la nueva política para asociarla a su grupo. Para obtener más información, consulte Definición de permisos de IAM personalizados con políticas administradas por el cliente.

   3. Elija Crear grupo de usuarios.

   4. Vuelva a la pestaña original y actualice la lista de grupos. A continuación, seleccione la casilla del grupo nuevo.

9. Seleccione Añadir usuario a grupos.

La consola muestra un mensaje de estado en el que se le informa que se ha añadido el usuario a los grupos que especificó.

Cómo agregar permisos a partir de la copia de los permisos de otro usuario de IAM

Cuando elige agregar permisos a partir de la copia a un usuario de IAM, IAM copia todas las suscripciones a grupos, las políticas administradas asociadas, las políticas insertadas y los límites de permisos existentes del usuario especificado y los aplica inmediatamente al usuario seleccionado.

IAM console

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

2. En la página principal de la consola, seleccione el servicio de IAM.

3. En el panel de navegación, seleccione Usuarios.

4. En la lista Users (Usuarios), elija el nombre de usuario de IAM.

5. En la pestaña Permisos, seleccione Agregar permisos.

6. En la página Agregar permisos, seleccione Copiar permisos. La lista muestra los usuarios de IAM disponibles junto con sus suscripciones a grupos y las políticas que tienen asociadas.

7. Seleccione el botón de opción que está junto al usuario cuyos permisos quiere copiar.

8. Elija Siguiente para ver la lista de cambios que se realizarán en el usuario. A continuación, elija Add permissions (Añadir permisos).

La consola muestra un mensaje de estado en el que se le informa que se han copiado los permisos del usuario de IAM que especificó.

Cómo agregar permisos mediante la asociación directa de políticas al usuario de IAM

Usted puede asociar una política administrada directamente al usuario de IAM. Los permisos actualizados se aplican inmediatamente.

IAM console

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

2. En la página principal de la consola, seleccione el servicio de IAM.

3. En el panel de navegación, seleccione Usuarios.

4. En la lista Users (Usuarios), elija el nombre de usuario de IAM.

5. En la pestaña Permisos, seleccione Agregar permisos.

6. En la página Agregar permisos, seleccione Asociar políticas directamente. La lista Políticas de permisos muestra las políticas disponibles junto con sus tipos de políticas y las entidades asociadas.

7. Seleccione el botón de opción situado junto al nombre de la política que quiere asociar.

8. Elija Siguiente para ver la lista de cambios que se realizarán en el usuario. A continuación, elija Add permissions (Añadir permisos).

La consola muestra un mensaje de estado en el que se le informa que se ha agregado la política al usuario de IAM que especificó.

Cómo configurar el límite de permisos de un usuario de IAM

El límite de permisos es una característica avanzada para administrar los permisos en AWS que se usa para configurar la cantidad máxima de permisos que puede tener un usuario de IAM. Cuando se configura un límite de permisos, se restringen inmediatamente los permisos del usuario de IAM al límite, independientemente de los demás permisos concedidos.

IAM console

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

2. En la página principal de la consola, seleccione el servicio de IAM.

3. En el panel de navegación, seleccione Usuarios.

4. En la lista Usuarios, elija el nombre del usuario de IAM cuyo límite de permisos desea modificar.

5. Elija la pestaña Permisos. Si es necesario, abra la sección Límite de permisos y luego, elija Configurar límite de permisos.

6. En la página Configurar límite de permisos, en Políticas de permisos, seleccione la política que quiera usar para definir el límite de permisos.

7. Elija Set boundary (Configurar límite).

La consola muestra un mensaje de estado en el que se le informa que se ha agregado el límite de permisos.

Cambio de los permisos de un usuario (consola)

IAM le permite cambiar los permisos asociados a un usuario de las siguientes maneras:

• Editar una política de permisos: editar la política insertada del usuario, la política insertada del grupo del usuario o una política administrada que esté asociada al usuario directamente o a través de un grupo. Si el usuario tiene un límite de permisos, no se le pueden conceder permisos por encima de los que autoriza la política utilizada como límite de permisos del usuario.

• Cambiar el límite de permisos: cambiar la política utilizada como límite de permisos para el usuario. Esto puede ampliar o reducir los permisos máximos que puede tener un usuario.

Edición de una política de permisos asociada a un usuario

Cuando se modifican los permisos, se actualiza el acceso del usuario inmediatamente.

IAM console

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

2. En la página principal de la consola, seleccione el servicio de IAM.

3. En el panel de navegación, seleccione Usuarios.

4. En la lista Usuarios, elija el nombre del usuario de IAM cuyo límite de permisos desea modificar.

5. Elija la pestaña Permisos. Si es necesario, abra la sección Límite de permisos.

6. Elija el nombre de la política que desea editar para ver sus detalles. Seleccione la pestaña Entidades asociadas para ver otras entidades (usuarios, grupos y roles de IAM) que podrían verse afectadas si se edita la política.

7. Elija la pestaña Permissions (Permisos) y revise los permisos que concede la política. Para efectuar cambios en los permisos, seleccione Editar.

8. Edite la política y resuelva las recomendaciones de validación de políticas. Para obtener más información, consulte Edición de políticas de IAM.

9. Seleccione Siguiente, revise el resumen de la política y, a continuación, elija Guardar cambios.

La consola muestra un mensaje de estado en el que se le informa que se ha actualizado la política.

Cómo modificar el límite de permisos de un usuario

Cuando se modifica el límite de permisos, se actualiza el acceso del usuario inmediatamente.

IAM console

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

2. En la página principal de la consola, seleccione el servicio de IAM.

3. En el panel de navegación, seleccione Usuarios.

4. En la lista Usuarios, elija el nombre del usuario de IAM cuyo límite de permisos desea modificar.

5. Elija la pestaña Permisos. Si es necesario, abra la sección Permissions boundary (Límite de permisos) y, a continuación, elija Change boundary (Cambiar límite).

6. Seleccione la política que desea utilizar para el límite de permisos.

7. Elija Set boundary (Configurar límite).

La consola muestra un mensaje de estado en el que se le informa que se ha modificado el límite de permisos.

Cómo eliminar una política de permisos de un usuario (consola)

Cuando se elimina una política de permisos, se actualiza el acceso del usuario inmediatamente.

IAM console

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

2. En la página principal de la consola, seleccione el servicio de IAM.

3. En el panel de navegación, seleccione Usuarios.

4. Seleccione el nombre del usuario cuyas políticas de permisos desea eliminar.

5. Elija la pestaña Permisos.

6. Si desea eliminar permisos mediante la remoción de una política existente, consulte la columna Medio de asociación para comprender cómo el usuario obtiene la política antes de elegir Eliminar para eliminar la política:

   • Si la política se aplica por la suscripción a un grupo, cuando elija Eliminar eliminará al usuario del grupo. Recuerde que es posible que tenga varias políticas asociadas a un único grupo. Si elimina al usuario de ese grupo, el usuario perderá el acceso a todas las políticas que recibió al pertenecer a dicho grupo.

   • Si la política es una política administrada asociada directamente al usuario, cuando elija Eliminar separará la política del usuario. Esto no afecta a la política en sí o a cualquier otra entidad a la que la política pueda estar asociada.

   • Si la política es una política insertada incrustada y selecciona Eliminar, se elimina la política de IAM. Las políticas insertadas que están directamente asociadas a un usuario existen únicamente en dicho usuario.

Si la política se otorgó al usuario mediante la suscripción a un grupo, la consola muestra un mensaje de estado en el que se le informa que se ha eliminado el usuario de IAM del grupo de IAM. Si la política está directamente asociada o insertada, en el mensaje de estado se le informa que se ha eliminado la política.

Cómo eliminar el límite de permisos de un usuario (consola)

Cuando se elimina el límite de permisos, se actualiza el acceso del usuario inmediatamente.

IAM console

1. Siga el procedimiento de inicio de sesión apropiado para su tipo de usuario como se describe en el tema Cómo iniciar sesión en AWS en la Guía del usuario de inicio de sesión en AWS.

2. En la página principal de la consola, seleccione el servicio de IAM.

3. En el panel de navegación, seleccione Usuarios.

4. En la lista Usuarios, seleccione el nombre del usuario de IAM cuyo límite de permisos desea eliminar.

5. Elija la pestaña Permisos. Si es necesario, abra la sección Límite de permisos.

6. Elija Change boundary (Cambiar límite). Para confirmar que desea eliminar el límite de permisos, seleccione Eliminar límite en el cuadro de diálogo de confirmación.

La consola muestra un mensaje de estado en el que se le informa que se ha eliminado el límite de permisos.

Adición y eliminación de permisos de un usuario (AWS CLI o API de AWS)

Para añadir o eliminar permisos de forma programada, debe añadir o eliminar las suscripciones a grupos, asociar o separar las políticas administradas o eliminar las políticas insertadas. Para obtener más información, consulte los temas siguientes:

• Edición de usuarios de grupos de IAM

• Adición y eliminación de permisos de identidad de IAM