AWS Identity and Access Management
Guía del usuario

Información general sobre la administración del acceso: permisos y políticas

La parte de administración de acceso de AWS Identity and Access Management (IAM) le ayuda a definir qué puede hacer una entidad principal en una cuenta. Una entidad principal es una persona o aplicación autenticada con una entidad de IAM (usuario o rol). La gestión del acceso a menudo se denomina autorización. Puede administrar el acceso en AWS creando políticas y asignándoselas a identidades de IAM (usuarios, grupos de usuarios o roles) o a recursos de AWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando una entidad principal utiliza una entidad de IAM (usuario o rol) para realizar una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. Las mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtener más información sobre los tipos de políticas y sus usos, consulte Políticas y permisos.

Políticas y cuentas

Si administra una única cuenta en AWS, definirá los permisos dentro de dicha cuenta mediante políticas. Si administra permisos entre varias cuentas, le resultará más difícil la administración de permisos para los usuarios. Puede utilizar roles de IAM, políticas basadas en recursos o listas de control de acceso (ACL) para gestionar los permisos entre cuentas. Sin embargo, si es propietario de varias cuentas, es recomendable usar el servicio AWS Organizations para administrar esos permisos. Para obtener más información, consulte ¿Qué es AWS Organizations? en la Guía del usuario de Organizaciones.

Políticas y usuarios

Los usuarios de IAM son identidades en el servicio. Cuando se crean usuarios de IAM, estos no pueden obtener acceso a ningún elemento de la cuenta hasta que se les conceda permiso. Para conceder permisos a un usuario se crea una política basada en identidad, que es una política que se asocia al usuario o a un grupo al que el usuario pertenece. En el siguiente ejemplo, se muestra una política JSON que permite al usuario realizar todas las acciones de Amazon DynamoDB (dynamodb:*) en la tabla Books de la cuenta 123456789012 que está dentro de la región us-east-2.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books" } }

Una vez asociada la política al usuario de IAM, este solo tendrá esos permisos de DynamoDB. La mayoría de los usuarios tienen varias políticas que, en conjunto, representan los permisos de dicho usuario.

De forma predeterminada, las acciones o los recursos que no se permiten de forma explícita se deniegan. Por ejemplo, si la política anterior es la única asociada a un usuario, este solo tendrá permiso para realizar acciones de DynamoDB en la tabla Books. Las acciones en el resto de las tablas están prohibidas. Del mismo modo, el usuario no podrá realizar ninguna acción en Amazon EC2, Amazon S3; ni en ningún otro servicio de AWS. El motivo es que los permisos para trabajar con esos servicios no están incluidos en la política.

La consola de IAM incluye tablas de resumen de política que describen el nivel de acceso, los recursos y las condiciones permitidos o rechazados para cada servicio de una política. Las políticas se resumen en tres tablas: el resumen de política, el resumen de servicio y el resumen de acción. La tabla de resumen de política contiene una lista de servicios. Elija un servicio para ver el resumen de servicio. Esta tabla de resumen incluye una lista de las acciones y permisos asociados con el servicio elegido. Puede elegir una acción de dicha tabla para ver el resumen de acción. Esta tabla incluye una lista de recursos y condiciones para la acción que haya elegido.


        Imagen del diagrama de resúmenes de política que ilustra las tres tablas y su relación

Puede ver los resúmenes de las políticas en la página Users (Usuarios) para todas las políticas (administradas y en línea) asociadas a dicho usuario. Puede ver los resúmenes de las políticas administradas en la página Policies (Políticas).

Por ejemplo, la política anterior se resume en la Consola de administración de AWS como se indica a continuación:


        Resumen de ejemplo de DynamoDB

También puede ver el documento JSON de la política. Para obtener información sobre cómo consultar el resumen o documento JSON, consulte Permisos concedidos por una política.

Políticas y grupos

Puede organizar a los usuarios de IAM en grupos de IAM y asociar una política a un grupo. En ese caso, los usuarios individuales siguen teniendo sus propias credenciales, pero todos los usuarios de un grupo tienen los permisos que se asocian al grupo. Utilice grupos para facilitar la administración de los permisos y siga nuestras IAM Prácticas recomendadas.


        Puede organizar los usuarios en grupos; de esta manera facilitará la administración de los permisos, ya que los usuarios tienen los permisos que se asignan a un grupo.

Los usuarios o los grupos pueden tener asociadas varias políticas que conceden permisos diferentes. En ese caso, los permisos de los usuarios se calculan basándose en las políticas combinadas. No obstante, sigue aplicándose el principio básico: si no se ha concedido al usuario un permiso explícito para una acción y un recurso, el usuario no tiene dichos permisos.

Usuarios federados y roles

Los usuarios federados no tiene identidades permanentes en su cuenta de AWS tal y como las tienen los usuarios de IAM. Para asignar permisos a usuarios federados, puede crear una entidad a la que se hace referencia como rol y definir permisos para el rol. Cuando un usuario federado inicia sesión en AWS, se asocia el usuario al rol y se le conceden los permisos que están definidos en el rol. Para obtener más información, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

Políticas basadas en identidad y políticas basadas en recursos

Las políticas basadas en identidad son políticas de permisos que se asocian a una identidad de IAM, como un usuario, grupo o rol de IAM. Las políticas basadas en recursos son políticas de permisos que se asocian a un recurso, como un bucket de Amazon S3 o una política de confianza de un rol de IAM.

Las políticas basadas en identidad controlan qué acciones puede realizar la identidad, en qué recursos y en qué condiciones. Las políticas basadas en la identidad pueden clasificarse así:

  • Políticas administradas – Políticas independientes basadas en la identidad que puede conectar a varios usuarios, grupos y funciones en su cuenta de AWS. Puede utilizar dos tipos de políticas administradas:

    • Políticas administradas de AWS – Políticas administradas creadas y administradas por AWS. Si es la primera vez que utiliza políticas, le recomendamos que empiece a utilizar las políticas administradas por AWS.

    • Políticas administradas por el cliente – Políticas administradas que crea y administra en su cuenta de AWS. Las políticas administradas por el cliente ofrecen un control más preciso sobre las políticas que las políticas administradas por AWS. Puede crear y editar una política de IAM en el editor visual o mediante la creación del documento de política de JSON directamente. Para obtener más información, consulte Crear políticas de IAM y Edición de políticas de IAM.

  • Políticas insertadas – Políticas que crea y administra y que están integradas directamente en un único usuario, grupo o función. En la mayoría de los casos no es recomendable el uso de políticas insertadas.

Las políticas basadas en recursos controlan qué acciones puede realizar una entidad principal en ese recurso y en qué condiciones. Las políticas basadas en recursos son políticas en línea y no hay políticas administradas basadas en recursos. Para hacer posible el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como entidad principal de la política basada en recursos.

El servicio IAM solo admite un tipo de política basada en recursos, el llamado política de confianza de rol, que se asocia a un rol de IAM. Al ser un rol de IAM al mismo tiempo una identidad y un recurso que admite las políticas basadas en recursos, es necesario asociarle tanto una política de confianza como una política basada en identidad. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) puede asumir el rol. Para obtener información sobre cómo difieren los roles de IAM con respecto a otras políticas basadas en recursos, consulte Cómo los roles de IAM difieren de las políticas basadas en recursos.

Para ver qué servicios admiten políticas basadas en recursos, consulte Servicios de AWS que funcionan con IAM. Para obtener más información sobre las políticas basadas en recursos, consulte Políticas basadas en identidad y políticas basadas en recursos.