Modificación de un rol (AWS CLI) - AWS Identity and Access Management

Modificación de un rol (AWS CLI)

Puede utilizar la AWS Command Line Interface para modificar un rol. Para cambiar el conjunto de etiquetas en un rol, consulte Administrar etiquetas en roles de IAM (AWS CLI o API de AWS).

Modificación de una política de confianza de rol (AWS CLI)

Para cambiar quién puede asumir un rol, debe modificar la política de confianza del rol. No se puede modificar la política de confianza de un rol vinculado a un servicio.

Notas
  • Si un usuario identificado como entidad principal de una política de confianza de un rol no puede asumir ese rol, compruebe el límite de permisos del usuario. Si hay definido un límite de permisos para el usuario, el límite deberá permitir la acción sts:AssumeRole.

  • Para permitir que los usuarios vuelvan a asumir el rol actual dentro de una sesión de rol, especifique el ARN del rol o el ARN de la Cuenta de AWS como entidad principal en la política de confianza de rol. Los Servicios de AWS que proporcionan recursos de computación, como Amazon EC2, Amazon ECS, Amazon EKS y Lambda, brindan credenciales temporales y las actualizan automáticamente. Esto garantiza que siempre disponga de un conjunto de credenciales válido. Para estos servicios, no es necesario volver a asumir el rol actual a fin de obtener credenciales temporales. Sin embargo, si tiene la intención de aprobar etiquetas de sesión o una política de sesión, tendrá que volver a asumir el rol actual. Para obtener información sobre cómo modificar una política de confianza de roles a fin de agregar el ARN del rol o el ARN de la Cuenta de AWS para la entidad principal, consulte Modificación de una política de confianza de rol (consola).

Para modificar una política de confianza de rol (AWS CLI)
  1. (Opcional) Si no conoce el nombre del rol que desea modificar, ejecute el siguiente comando para ver una lista de los roles de la cuenta:

  2. (Opcional) Para ver la política de confianza actual de un rol, ejecute el siguiente comando:

  3. Para modificar las entidades principales de confianza que pueden obtener acceso al rol, cree un archivo de texto con la política de confianza actualizada. Puede utilizar cualquier editor de texto para crear la política.

    Por ejemplo, la política de confianza siguiente muestra cómo hacer referencia a dos Cuentas de AWS en el elemento Principal. Esto permite a los usuarios de dos Cuentas de AWS independientes asumir este rol.

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ]}, "Action": "sts:AssumeRole" } }

    Si especifica una entidad principal de otra cuenta, el hecho de añadir una cuenta a la política de confianza de un rol solo es una parte del establecimiento de una relación de confianza entre cuentas. De forma predeterminada, ningún usuario de las cuentas de confianza puede asumir el rol. El administrador de la cuenta en la que se acaba de establecer la relación de confianza debe conceder a los usuarios permiso para asumir el rol. Para ello, el administrador debe crear o editar una política que esté asociada al usuario para permitirle a este el acceso a la acción sts:AssumeRole. Para obtener más información, consulte el siguiente procedimiento o Conceder permisos de usuario para cambiar de rol.

  4. Si desea utilizar el archivo que acaba de crear para actualizar la política de confianza, ejecute el siguiente comando:

Para permitir que los usuarios de una cuenta externa de confianza utilicen el rol (AWS CLI)

Para obtener más información y detalles sobre este procedimiento, consulte Conceder permisos de usuario para cambiar de rol.

  1. Cree un archivo JSON que contenga una política de permisos que conceda permisos para asumir el rol. Por ejemplo, la política siguiente contiene los permisos mínimos necesarios:

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID-THAT-CONTAINS-ROLE:role/ROLE-NAME" } }

    Reemplace el ARN de la instrucción por el ARN del rol que el usuario puede asumir.

  2. Ejecute el siguiente comando para cargar el archivo JSON que contiene la política de confianza en IAM:

    La salida de este comando incluye el ARN de la política. Anote este ARN, ya que tendrá que utilizarlo en un paso posterior.

  3. Decida a qué usuario o grupo asociará la política. Si no conoce el nombre del usuario o el grupo en cuestión, ejecute uno de los comandos siguientes para mostrar una lista de los usuarios o grupos de la cuenta:

  4. Ejecute uno de los siguientes comandos para asociar la política que ha creado en el paso anterior al usuario o al grupo:

Modificación de una política de permisos de rol (AWS CLI)

Para cambiar los permisos permitidos por el rol, modifique la política (o políticas) de permisos del rol. No se puede modificar la política de permisos de un rol vinculado a un servicio en IAM. Se podría modificar la política de permisos en el servicio que depende del rol. Para comprobar si un servicio admite esta característica, consulte Servicios de AWS que funcionan con IAM y busque los servicios con en la columna Roles vinculados a servicios. Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Para cambiar los permisos que permite un rol (AWS CLI)
  1. (Opcional) Para ver los permisos actuales asociados a un rol, ejecute los siguientes comandos:

    1. aws iam list-role-policies para obtener una lista de políticas insertadas

    2. aws iam list-attached-role-policies para obtener una lista de políticas administradas

  2. El comando para actualizar los permisos del rol varía en función de si se está actualizando una política administrada o una política insertada.

    Para actualizar una política administrada, ejecute el siguiente comando para crear una nueva versión de la política administrada:

    Para actualizar una política insertada, ejecute el siguiente comando:

Modificación de una descripción de rol (AWS CLI)

Para cambiar la descripción del rol, modifique el texto de descripción.

Para cambiar la descripción de un rol (AWS CLI)
  1. (Opcional) Para ver la descripción actual de un rol, ejecute el siguiente comando:

  2. Para actualizar la descripción de un rol, ejecute el siguiente comando con el parámetro de descripción:

Modificación de la duración máxima de la sesión de un rol (AWS CLI)

Para especificar la duración máxima de la sesión para los roles que se asumen mediante la API o la AWS CLI, modifique el valor del ajuste de duración máxima de la sesión. Esta opción puede tener un valor comprendido entre 1 y 12 horas. Si no especifica un valor, se aplicará el valor máximo predeterminado de 1 hora. Esta configuración no limita las sesiones asumidas por los servicios de AWS.

nota

Cualquiera que asuma el rol desde la API o la AWS CLI puede utilizar el duration-seconds parámetro de la CLI o el DurationSeconds parámetro de la API para solicitar una sesión más larga. El ajuste MaxSessionDuration determina la duración máxima de la sesión de rol que se puede solicitar mediante el parámetro DurationSeconds. Si los usuarios no especifican un valor para el parámetro DurationSeconds, sus credenciales de seguridad serán válidas durante una hora.

Para cambiar el valor de la duración máxima de la sesión para los roles que se asumen mediante AWS CLI (AWS CLI)
  1. (Opcional) Para ver el valor actual de la duración máxima de la sesión de un rol, ejecute el siguiente comando:

  2. Para actualizar el valor de la duración máxima de la sesión de un rol, ejecute el siguiente comando con el parámetro max-session-duration de la CLI o el parámetro MaxSessionDuration de la API:

    Los cambios no entrarán en vigor hasta la próxima vez que alguien asuma este rol. Para obtener información sobre cómo revocar sesiones existentes para este rol, consulte Revocación de las credenciales de seguridad temporales de un rol de IAM.

Modificación de un límite de permisos de rol (AWS CLI)

Para cambiar los permisos máximos permitidos para un rol, modifique el límite de permisos del rol.

Para cambiar la política administrada que se utiliza para establecer el límite de permisos de un rol (AWS CLI)
  1. (Opcional) Para ver el límite de permisos actual de un rol, ejecute el comando siguiente:

  2. Si desea utilizar una política administrada diferente para actualizar el límite de permisos de un rol, ejecute el comando siguiente:

    Un rol solo puede tener una política administrada configurada como límite de permisos. Si cambia el límite de permisos, también cambiará los permisos que puede tener un rol como máximo.