AWS: permite a los usuarios de IAM administrar sus propias credenciales en la página “My Security Credentials” (Mis credenciales de seguridad) - AWS Identity and Access Management

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS: permite a los usuarios de IAM administrar sus propias credenciales en la página “My Security Credentials” (Mis credenciales de seguridad)

En este ejemplo se muestra cómo es posible crear una política de IAM con la que permite a los usuarios de IAM administrar sus propias credenciales en la página My Security Credentials (Mis credenciales de seguridad). Esta página de la Consola de administración de AWS muestra información de la cuenta, como el ID de cuenta y el ID de usuario canónico. Los usuarios también pueden ver y editar sus propias contraseñas, claves de acceso, certificados X.509, claves SSH y credenciales de Git. Esta política de ejemplo incluye los permisos necesarios para ver y editar toda la información de la página, salvo el dispositivo MFA del usuario. Para permitir a los usuarios administrar sus propias credenciales con MFA, consulte AWS: permite a los usuarios de IAM autenticados por MFA administrar sus propias credenciales en la página “My Security Credentials” (Mis credenciales de seguridad).

Para obtener información acerca de cómo pueden acceder los usuarios a la página My Security Credentials (Mis credenciales de seguridad), consulte Cómo cambian los usuarios de IAM su propia contraseña (consola).

¿Qué hace esta política?

  • La instrucción AllowViewAccountInfo permite al usuario ver la información de nivel de cuenta. Estos permisos deben estar en su propia instrucción, ya que no admiten o no requieren un ARN de recurso. En lugar de ello, los permisos especifican "Resource" : "*". Esta instrucción incluye las siguientes acciones que permiten al usuario ver información específica:

    • GetAccountPasswordPolicy: ver los requisitos de contraseña de la cuenta y cambiar la contraseña de su propio usuario de IAM.

    • GetAccountSummary: ver el ID de cuenta y el ID de usuario canónico de la cuenta.

  • La instrucción AllowManageOwnPasswords permite al usuario cambiar su propia contraseña. Esta instrucción incluye también la acción GetUser, que es necesaria para ver la mayor parte de la información de la página My Security Credentials (Mis credenciales de seguridad).

  • La instrucción AllowManageOwnAccessKeys permite al usuario crear, actualizar y eliminar sus propias claves de acceso.

  • La instrucción AllowManageOwnSigningCertificates permite al usuario cargar, actualizar y eliminar sus propios certificados de firma.

  • La instrucción AllowManageOwnSSHPublicKeys permite al usuario cargar, actualizar y eliminar sus propias claves públicas SSH de CodeCommit.

  • La instrucción AllowManageOwnGitCredentials permite al usuario cargar, crear y eliminar sus propias credenciales de Git de CodeCommit.

Esta política no permite a los usuarios ver ni administrar sus propios dispositivos MFA. Tampoco pueden ver la página Users (Usuarios) de la consola de IAM ni utilizar esa página para obtener acceso a su propia información de usuario. Si desea permitirlo, añada la acción iam:ListUsers a la instrucción AllowViewAccountInfo. Tampoco permite a los usuarios cambiar su contraseña en su propia página de usuario. Si desea permitirlo, añada las acciones iam:CreateLoginProfile, iam:DeleteLoginProfile, iam:GetLoginProfile e iam:UpdateLoginProfile a la instrucción AllowManageOwnPasswords.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowViewAccountInfo", "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy", "iam:GetAccountSummary" ], "Resource": "*" }, { "Sid": "AllowManageOwnPasswords", "Effect": "Allow", "Action": [ "iam:ChangePassword", "iam:GetUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "AllowManageOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:ListAccessKeys", "iam:UpdateAccessKey" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "AllowManageOwnSigningCertificates", "Effect": "Allow", "Action": [ "iam:DeleteSigningCertificate", "iam:ListSigningCertificates", "iam:UpdateSigningCertificate", "iam:UploadSigningCertificate" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "AllowManageOwnSSHPublicKeys", "Effect": "Allow", "Action": [ "iam:DeleteSSHPublicKey", "iam:GetSSHPublicKey", "iam:ListSSHPublicKeys", "iam:UpdateSSHPublicKey", "iam:UploadSSHPublicKey" ], "Resource": "arn:aws:iam::*:user/${aws:username}" }, { "Sid": "AllowManageOwnGitCredentials", "Effect": "Allow", "Action": [ "iam:CreateServiceSpecificCredential", "iam:DeleteServiceSpecificCredential", "iam:ListServiceSpecificCredentials", "iam:ResetServiceSpecificCredential", "iam:UpdateServiceSpecificCredential" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }