AWS Identity and Access Management
Guía del usuario

Entender cómo funciona IAM

Antes de crear los usuarios, debe comprender cómo funciona IAM. IAM proporciona la infraestructura necesaria para controlar la autenticación y la autorización para su cuenta. La infraestructura de IAM incluye los siguientes elementos:


      IntroToIAM_Diagram

Términos

Más información sobre términos de IAM.

Recursos

Los objetos de usuario, grupo, función, política y proveedor de identidad almacenados en IAM. Al igual que con otros servicios de AWS, puede agregar, editar y eliminar los recursos de IAM.

Identidades

Los objetos de recursos de IAM que se utilizan para identificar y agrupar. Puede asociar una política a una identidad IAM. Estos incluyen usuarios, grupos y roles.

Entidades

Los objetos de recursos de IAM que AWS utiliza para autenticación. Estos incluyen usuarios y roles. Las funciones las pueden asumir los usuarios de IAM y las funciones de su cuenta o de otra. También las pueden asumir usuarios federados a través de una identidad web o SAML.

Entidades principales

Una persona o aplicación que utiliza Usuario de la cuenta raíz de AWS, un usuario IAM o una función IAM para iniciar sesión y realizar solicitudes a AWS.

Principal

Una entidad principal es una persona o aplicación que puede realizar una solicitud para realizar una acción o una operación en un recurso de AWS. La entidad principal se autentica como Usuario de la cuenta raíz de AWS o una entidad IAM para realizar solicitudes a AWS. Como práctica recomendada, no utilice sus credenciales usuario raíz para las tareas cotidianas. En su lugar, cree entidades de IAM (usuarios y roles). También puede utilizar usuarios federados o el acceso mediante programación para permitir a una aplicación tener acceso a su cuenta de AWS.

Solicitud

Cuando una entidad principal intenta utilizar la Consola de administración de AWS, la API de AWS o la AWS CLI, la entidad principal envía una solicitud a AWS. La solicitud incluye la información siguiente:

  • Acciones u operaciones: las acciones u operaciones que la entidad principal desea realizar. Puede tratarse de una acción en la Consola de administración de AWS o una operación en la AWS CLI o la API de AWS.

  • Recursos: el objeto de recurso de AWS sobre el que se realizan las acciones u operaciones.

  • Principal: persona o aplicación que utilizó una entidad (usuario o rol) para enviar la solicitud. La información sobre el principal incluye las políticas asociada a la entidad que el principal ha utilizado para iniciar sesión.

  • Datos de entorno: información sobre la dirección IP, el agente de usuario, el estado de habilitación de SSL o la hora del día.

  • Datos de recursos: datos relacionados con el recurso que se está solicitando. Esto puede incluir información como, por ejemplo, un nombre de tabla de DynamoDB o una etiqueta de una instancia Amazon EC2.

AWS recopila la información sobre la solicitud en un contexto de solicitud, que se utiliza para evaluar y autorizar la solicitud.

Autenticación

Una entidad principal autenticarse (con sesión iniciada en AWS) utilizando sus credenciales para enviar una solicitud a AWS. Algunos servicios, como, por ejemplo, Amazon S3 y AWS STS, permiten algunas solicitudes de los usuarios anónimos. Sin embargo, son la excepción a la regla.

Para autenticarse desde la consola como usuario raíz, debe iniciar sesión con su dirección de correo electrónico y contraseña. Como usuario de IAM, proporcione el ID de la cuenta o alias y, a continuación, su nombre de usuario y contraseña. Para autenticarse desde la API o la AWS CLI, debe proporcionar su clave de acceso y su clave secreta. También es posible que tenga que proporcionar información de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor (MFA) para aumentar la seguridad de su cuenta. Para obtener más información acerca de las entidades de IAM que AWS puede autenticar, consulte Usuarios de IAM y Roles de IAM.

Autorización

Asimismo, debe ser autorizado (admitido) para completar su solicitud. Durante la autorización, AWS utiliza los valores del contexto de la solicitud para comprobar las políticas que se aplican a la solicitud. A continuación, utiliza las políticas para determinar si se debe permitir o denegar la solicitud. La mayoría de las políticas se almacenan en AWS como documentos JSON y especifican los permisos de las entidades principales. Existen varios tipos de políticas que pueden afectar a la autorización de una solicitud. Para proporcionar a los usuarios los permisos necesarios para tener acceso a los recursos de AWS de su propia cuenta, solo necesitará políticas basadas en identidad. Las políticas basadas en recursos se suelen utilizar para conceder acceso entre cuentas. Los demás tipos de políticas son características avanzadas y deben utilizarse con cuidado.

AWS comprueba cada política que se aplica al contexto de una solicitud. Si una sola política de permisos incluye una acción denegada, AWS deniega toda la solicitud y deja de evaluarla. Esto se denomina una denegación explícita. Dado que las solicitudes se deniegan de forma predeterminada, AWS autoriza una solicitud únicamente si las políticas de permisos aplicables permiten todas las partes de la solicitud. La lógica de evaluación de una solicitud dentro de una cuenta individual se rige por las normas generales siguientes:

  • De forma predeterminada, se deniegan todas las solicitudes. (Por lo general, las solicitudes realizadas con las credenciales de Usuario de la cuenta raíz de AWS para los recursos de la cuenta siempre se autorizan).

  • Un permiso explícito en cualquier política de permisos (basada en identidad o en recursos) anula esta opción predeterminada.

  • La existencia de una SCP de Organizaciones, un límite de permisos de IAM o una política de sesión anula el permiso. Si existen uno o varios de estos tipos de políticas, todos ellos deben permitir la solicitud. De lo contrario, se deniega implícitamente.

  • Una denegación explícita en cualquier política invalida cualquier permiso concedido.

Para obtener más información acerca de cómo se evalúan todos los tipos de políticas, consulte Lógica de evaluación de políticas. Si debe realizar una solicitud referida a otra cuenta, una política de la otra cuenta debe permitirle el acceso al recurso y, además, la entidad de IAM que utilice para realizar la solicitud debe tener una política basada en identidad que permita la solicitud.

Acciones u operaciones

Una vez que la solicitud se ha autenticado y se ha autorizado, AWS aprueba las acciones u operaciones de la solicitud. Las operaciones se definen mediante un servicio e incluyen las cosas que se pueden hacer con un recurso, como visualizar, crear, editar y eliminar dicho recurso. Por ejemplo, IAM admite aproximadamente 40 acciones para un recurso de usuario, incluidas las siguientes:

  • CreateUser

  • DeleteUser

  • GetUser

  • UpdateUser

Para permitir a una entidad principal realizar una operación, debe incluir las acciones necesarias en una política que se aplica a la entidad principal o al recurso afectado. Para ver una lista de las acciones, los tipos de recursos y las claves de condición admitidas por cada servicio, consulte Claves de condición, recursos y acciones de los servicios de AWS.

Recursos

Después de que AWS aprueba las operaciones de una solicitud, estas se pueden realizar en los recursos relacionados dentro de la cuenta. Un recurso es un objeto que existe dentro de un servicio. Entre los ejemplos se incluyen una instancia Amazon EC2, un usuario de IAM y un bucket de Amazon S3. El servicio define un conjunto de acciones que se pueden llevar a cabo en cada recurso. Si crea una solicitud para llevar a cabo una acción independiente en un recurso, dicha solicitud se deniega. Por ejemplo, si solicita eliminar un rol de IAM, pero proporciona un recurso de grupo de IAM, la solicitud fallará. Para ver las tablas de los servicios de AWS que identifican los recursos que se ven afectados por una acción, consulte Claves de condición, recursos y acciones de los servicios de AWS.