Modificación de un rol (consola) - AWS Identity and Access Management

Modificación de un rol (consola)

Puede utilizar la AWS Management Console para modificar un rol. Para cambiar el conjunto de etiquetas en un rol, consulte Administrar etiquetas en roles de IAM (consola).

Modificación de una política de confianza de rol (consola)

Para cambiar quién puede asumir un rol, debe modificar la política de confianza del rol. No se puede modificar la política de confianza de un rol vinculado a un servicio.

nota

Si un usuario identificado como entidad principal de una política de confianza de un rol no puede asumir ese rol, compruebe el límite de permisos del usuario. Si hay definido un límite de permisos para el usuario, el límite deberá permitir la acción sts:AssumeRole.

Para modificar una política de confianza de rol (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles (Roles).

  3. En la lista de roles de su cuenta, elija el nombre del rol que desee modificar.

  4. Elija la pestaña Trust relationships (Relaciones de confianza) y, a continuación, Edit trust relationship (Editar relación de confianza).

  5. Edite la política de confianza según sea necesario. Para añadir entidades principales adicionales que puedan asumir el rol, especifíquelas en el elemento Principal. Por ejemplo, el siguiente fragmento de política muestra cómo hacer referencia a dos cuentas de AWS en el elemento Principal:

    "Principal": { "AWS": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root" ] },

    Si especifica una entidad principal de otra cuenta, el hecho de añadir una cuenta a la política de confianza de un rol solo es una parte del establecimiento de una relación de confianza entre cuentas. De forma predeterminada, ningún usuario de las cuentas de confianza puede asumir el rol. El administrador de la cuenta en la que se acaba de establecer la relación de confianza debe conceder a los usuarios permiso para asumir el rol. Para ello, el administrador debe crear o editar una política que esté asociada al usuario para permitirle a este el acceso a la acción sts:AssumeRole. Para obtener más información, consulte el siguiente procedimiento o Conceder permisos de usuario para cambiar de rol.

    El siguiente fragmento de política muestra cómo hacer referencia a dos servicios de AWS en el elemento Principal:

    "Principal": { "Service": [ "opsworks.amazonaws.com", "ec2.amazonaws.com" ] },
  6. Cuando haya terminado de editar la política de confianza, elija Update Trust Policy (Actualizar política de confianza) para guardar los cambios.

    Para obtener más información sobre la estructura y la sintaxis de la política, consulte las secciones Políticas y permisos en IAM y Referencia de los elementos de las políticas de JSON de IAM.

Para permitir que los usuarios de una cuenta externa de confianza utilicen el rol (consola)

Para obtener más información y detalles sobre este procedimiento, consulte Conceder permisos de usuario para cambiar de rol.

  1. Inicie sesión en la cuenta de AWS externa de confianza.

  2. Decida si desea asociar los permisos a un usuario o a un grupo. En el panel de navegación de la consola IAM, elija Usuarios o Grupos según lo que decida.

  3. Elija el nombre del usuario o el grupo al que desea conceder acceso y, a continuación, elija la pestaña Permissions (Permisos).

  4. Aplique alguna de las siguientes acciones:

    • Para editar una política administrada por el cliente, elija el nombre de la política, elija Edit policy (Editar política) y, a continuación, elija la pestaña JSON. No se puede editar una política administrada por AWS. Las políticas administradas de AWS aparecen con el icono AWS ( ). Para obtener más información acerca de la diferencia entre las políticas administradas por AWS y las políticas administradas por el cliente, consulte Políticas administradas y políticas insertadas.

    • Para editar una política insertada, seleccione la flecha que aparece junto al nombre de la política y elija Edit Policy (Editar política).

  5. En el editor de políticas, añada un elemento Statement nuevo que especifique lo siguiente:

    { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-ID:role/ROLE-NAME" }

    Reemplace el ARN de la instrucción por el ARN del rol que el usuario puede asumir.

  6. Siga las indicaciones que aparecen en pantalla para terminar de editar la política.

Modificación de una política de permisos de rol (consola)

Para cambiar los permisos permitidos por el rol, modifique la política (o políticas) de permisos del rol. No se puede modificar la política de permisos de un rol vinculado a un servicio en IAM. Se podría modificar la política de permisos en el servicio que depende del rol. Para comprobar si un servicio admite esta característica, consulte AWSServicios que funcionan con IAM y busque los servicios con en la columna Roles vinculados a servicios. Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Para cambiar los permisos de un rol (consola)

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles (Roles).

  3. Elija el nombre del rol que desea modificar y, a continuación, la pestaña Permissions (Permisos).

  4. Aplique alguna de las siguientes acciones:

    • Para editar una política administrada por el cliente ya existente, elija el nombre de la política y seleccione Edit policy (Editar política).

      nota

      No se puede editar una política administrada por AWS. La política administrada por AWS aparece con el icono de AWS ( ). Para obtener más información acerca de la diferencia entre las políticas administradas por AWS y las políticas administradas por el cliente, consulte Políticas administradas y políticas insertadas.

    • Para asociar una política administrada existente al rol, elija Add permissions (Añadir permisos).

    • Para editar una política insertada ya existente, seleccione la flecha que aparece junto al nombre de la política y elija Edit Policy (Editar política).

    • Para integrar una nueva política insertada, seleccione Add inline policy (Añadir política insertada).

Modificación de una descripción de rol (consola)

Para cambiar la descripción del rol, modifique el texto de descripción.

Para cambiar la descripción del rol (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles (Roles).

  3. Seleccione el nombre del rol que desea modificar.

  4. Junto a Role description (Descripción del rol) y en el extremo derecho, seleccione Edit (Editar).

  5. Escriba una nueva descripción en el cuadro Save.

Modificación de la duración máxima de la sesión de un rol (consola)

Para especificar la duración máxima de la sesión para los roles que se asumen mediante la consola, AWS CLI o la API de AWS, modifique el valor del ajuste de duración máxima de la sesión. Esta opción puede tener un valor comprendido entre 1 y 12 horas. Si no especifica un valor, se aplicará el valor máximo predeterminado de 1 hora. Esta configuración no limita las sesiones asumidas por los servicios de AWS.

Para cambiar el valor de la duración máxima de la sesión para los roles que se asumen mediante la consola, AWS CLI o la API de AWS (consola)

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación de la consola de IAM, elija Roles (Roles).

  3. Seleccione el nombre del rol que desea modificar.

  4. Junto a la Duración máxima de la sesión, elija un valor. O elija Custom duration (Duración personalizada) y escriba un valor (en segundos).

  5. Seleccione Save.

    Los cambios no entrarán en vigor hasta la próxima vez que alguien asuma este rol. Para obtener información sobre cómo revocar sesiones existentes para este rol, consulte Revocación de las credenciales de seguridad temporales de un rol de IAM.

En AWS Management Console, las sesiones de usuario de IAM son de 12 horas de forma predeterminada. A los usuarios de IAM que cambian de rol en la consola se les concede la duración máxima de la sesión del rol, o el tiempo restante de la sesión del usuario de IAM, lo que sea menor.

Cualquier persona que asuma el rol desde el AWS CLI o la API de AWS puede solicitar una sesión más larga, hasta este máximo. El ajuste de la MaxSessionDuration determina la duración máxima de la sesión de rol que se puede solicitar.

  • Para especificar una duración de sesión utilizando el AWS CLI use el parámetro duration-seconds. Para obtener más información, consulte Cambio a un rol de IAM (AWS CLI).

  • Para especificar una duración de sesión mediante la API de AWS, utilice el parámetro DurationSeconds. Para obtener más información, consulte Cambio a un rol de IAM (API de AWS).

Modificación de un límite de permisos de rol (consola)

Para cambiar los permisos máximos permitidos para un rol, modifique el límite de permisos del rol.

Para cambiar la política que se utiliza para establecer el límite de permisos de un rol

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Seleccione Roles (Roles) en el panel de navegación.

  3. Elija el nombre del rol cuyo límite de permisos desea modificar.

  4. Elija la pestaña Permissions. Si es necesario, abra la sección Permissions boundary (Límite de permisos) y, a continuación, elija Change boundary (Cambiar límite).

  5. Seleccione la política que desea utilizar para el límite de permisos.

  6. Elija Change boundary (Cambiar límite).

    Los cambios no entrarán en vigor hasta la próxima vez que alguien asuma este rol.