Administración de roles de IAM - AWS Identity and Access Management

Administración de roles de IAM

Para que un usuario, una aplicación o un servicio pueda utilizar un rol que usted haya creado, debe conceder permisos para cambiar al rol. Puede utilizar cualquier política asociada a grupos o usuarios para otorgar los permisos necesarios. En esta sección se describe cómo se puede conceder a los usuarios el permiso para utilizar un rol. También explica cómo el usuario puede cambiar a un rol desde el AWS Management Console, Tools for Windows PowerShell, AWS Command Line Interface (AWS CLI) y el API de AssumeRole.

importante

Cuando crea un rol mediante programación en lugar de hacerlo en la consola de IAM, tiene la opción de agregar un Path de 512 caracteres como máximo además del RoleName, que puede tener un máximo de 64 caracteres. Sin embargo, si desea utilizar un rol con la característica Cambiar rol en la consola de AWS Management Console, la combinación de Path y RoleName no puede superar los 64 caracteres.

Ver Acceso de roles

Antes de cambiar los permisos para un rol, debe revisar su actividad de nivel de servicio reciente. Esto es importante porque no desea eliminar el acceso de un principal (persona o aplicación) que está utilizándolo. Para obtener más información acerca de cómo ver la información de acceso reciente, consulte Ajuste de permisos en AWS con información sobre los últimos accesos.

Generar una política basada en información de acceso

A veces puede conceder permisos a una entidad de IAM (usuario o rol) de más allá de lo que requieren. Para ayudarle a refinar los permisos que concede, puede generar una política de IAM que esté basada en la actividad de acceso de una entidad. El analizador de acceso de IAM revisa los registros de AWS CloudTrail y genera una plantilla de política que contiene los permisos que ha utilizado la entidad en el intervalo de fechas especificado. Puede utilizar la plantilla para crear una política administrada con permisos detallados y, a continuación, adjuntarla a la entidad de IAM. De esta forma, solo concede los permisos que el usuario o rol necesita para interactuar con los recursos de AWS para su caso de uso específico. Para obtener más información, consulte Generación de políticas del Analizador de acceso de IAM.