Políticas y cuentas Políticas y usuarios Políticas y grupos Usuarios federados y roles Políticas basadas en identidad y políticas basadas en recursos

Información general sobre la administración del acceso: permisos y políticas

La parte de administración de acceso de AWS Identity and Access Management (IAM) le ayuda a definir qué puede hacer una entidad principal en una cuenta. Una entidad principal es una persona o aplicación autenticada con una entidad de IAM (usuario o rol). La gestión del acceso a menudo se denomina autorización. Puede administrar el acceso en AWS creando políticas y asignándoselas a identidades de IAM (usuarios, grupos de usuarios o roles) o a recursos de AWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando una entidad principal utiliza una entidad de IAM (usuario o rol) para realizar una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. Las mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtener más información sobre los tipos de políticas y sus usos, consulte Políticas y permisos en IAM.

Políticas y cuentas

Si administra una única cuenta en AWS, definirá los permisos dentro de dicha cuenta mediante políticas. Si administra permisos entre varias cuentas, le resultará más difícil la administración de permisos para los usuarios. Puede utilizar roles de IAM, políticas basadas en recursos o listas de control de acceso (ACL) para gestionar los permisos entre cuentas. Sin embargo, si es propietario de varias cuentas, es recomendable utilizar el servicio AWS Organizations para administrar esos permisos. Para obtener más información, consulte Qué es AWS Organizations en la Guía del usuario de Organizations.

Políticas y usuarios

Los usuarios de IAM son identidades en el servicio. Cuando se crean usuarios de IAM, estos no pueden obtener acceso a ningún elemento de la cuenta hasta que se les conceda permiso. Para conceder permisos a un usuario se crea una política basada en identidad, que es una política que se asocia al usuario o a un grupo al que el usuario pertenece. En el siguiente ejemplo, se muestra una política JSON que permite al usuario realizar todas las acciones de Amazon DynamoDB (dynamodb:*) en la tabla Books de la cuenta 123456789012 que está dentro de la región us-east-2.


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}

Una vez asociada la política al usuario de IAM, este solo tendrá esos permisos de DynamoDB. La mayoría de los usuarios tienen varias políticas que, en conjunto, representan los permisos de dicho usuario.

De forma predeterminada, las acciones o los recursos que no se permiten de forma explícita se deniegan. Por ejemplo, si la política anterior es la única asociada a un usuario, este solo tendrá permiso para realizar acciones de DynamoDB en la tabla Books. Las acciones en el resto de las tablas están prohibidas. Del mismo modo, el usuario no podrá realizar ninguna acción en Amazon EC2, Amazon S3 ni en ningún otro servicio de AWS. El motivo es que los permisos para trabajar con esos servicios no están incluidos en la política.

Políticas y grupos

Puede organizar a los usuarios de IAM en grupos de IAM y asociar una política a un grupo. En ese caso, los usuarios individuales siguen teniendo sus propias credenciales, pero todos los usuarios de un grupo tienen los permisos que se asocian al grupo. Utilice grupos para facilitar la administración de los permisos y siga nuestras Prácticas recomendadas de seguridad en IAM.

Puede organizar los usuarios en grupos; de esta manera facilitará la administración de los permisos, ya que los usuarios tienen los permisos que se asignan a un grupo.

Los usuarios o los grupos pueden tener asociadas varias políticas que conceden permisos diferentes. En ese caso, los permisos para los usuarios se calculan basándose en las políticas combinadas. No obstante, sigue aplicándose el principio básico: si no se ha concedido al usuario un permiso explícito para una acción y un recurso, el usuario no tiene dichos permisos.

Usuarios federados y roles

Los usuarios federados no tienen identidades permanentes en su Cuenta de AWS tal y como las tienen los usuarios de IAM. Para asignar permisos a usuarios federados, puede crear una entidad a la que se hace referencia como rol y definir permisos para el rol. Cuando un usuario federado inicia sesión en AWS, se asocia el usuario al rol y se le conceden los permisos que están definidos en el rol. Para obtener más información, consulte Creación de un rol para un proveedor de identidad de terceros (federación).

Políticas basadas en identidad y políticas basadas en recursos

Las políticas basadas en identidad son políticas de permisos que se asocian a una identidad de IAM, como un usuario, grupo o rol de IAM. Las políticas basadas en recursos son políticas de permisos que se asocian a un recurso, como un bucket de Amazon S3 o una política de confianza de un rol de IAM.

Las políticas basadas en identidad controlan qué acciones puede realizar la identidad, en qué recursos y en qué condiciones. Las políticas basadas en la identidad pueden clasificarse así:

Políticas administradas: políticas independientes basadas en la identidad que puede adjuntar a varios usuarios, grupos y funciones en su Cuenta de AWS. Puede utilizar dos tipos de políticas administradas:
- Políticas administradas de AWS – Políticas administradas creadas y administradas por AWS. Si es la primera vez que utiliza políticas, le recomendamos que empiece a utilizar las políticas administradas por AWS.
- Políticas administradas por el cliente: políticas administradas que crea y administra en su Cuenta de AWS. Las políticas administradas por el cliente ofrecen un control más preciso sobre las políticas que las políticas administradas por AWS. Puede crear, editar y validar una política de IAM en el editor visual o mediante la creación del documento de política de JSON directamente. Para obtener más información, consulte Crear políticas de IAM y Edición de políticas de IAM.
Políticas insertadas – Políticas que crea y administra y que están integradas directamente en un único usuario, grupo o rol. En la mayoría de los casos no es recomendable el uso de políticas insertadas.

Las políticas basadas en recursos controlan qué acciones puede realizar una entidad principal en ese recurso y en qué condiciones. Las políticas basadas en recursos son políticas en línea y no hay políticas administradas basadas en recursos. Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política basada en recursos.

El servicio IAM solo admite un tipo de política basada en recursos, el llamado política de confianza de rol, que se asocia a un rol de IAM. Al ser un rol de IAM al mismo tiempo una identidad y un recurso que admite las políticas basadas en recursos, es necesario asociarle tanto una política de confianza como una política basada en un rol de IAM. Las políticas de confianza definen qué entidades principales (cuentas, usuarios, roles y usuarios federados) puede asumir el rol. Para obtener información sobre cómo difieren los roles de IAM con respecto a otras políticas basadas en recursos, consulte Acceso a recursos entre cuentas en IAM.

Para ver qué servicios admiten políticas basadas en recursos, consulte Servicios de AWS que funcionan con IAM. Para obtener más información sobre las políticas basadas en recursos, consulte Políticas basadas en identidad y políticas basadas en recursos.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Usuarios de AWS

¿Qué es ABAC?