Cómo funciona Amazon Monitron con IAM - Amazon Monitron
Políticas basadas en identidades de Amazon MonitronPolíticas basadas en recursos de Amazon MonitronAutorización basada en etiquetas de Amazon MonitronFunciones de Amazon Monitron IAMEjemplos de políticas basadas en identidadesResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona Amazon Monitron con IAM

Antes de gestionar el IAM acceso a Amazon Monitron, debe saber qué IAM funciones están disponibles para su uso con Amazon Monitron. Para obtener una visión general de cómo funcionan Amazon Monitron y otros AWS serviciosIAM, consulte AWS Servicios con los que funcionan IAM en la Guía del IAMusuario.

Políticas basadas en identidades de Amazon Monitron

Para especificar las acciones y los recursos permitidos o denegados y las condiciones en las que se permiten o deniegan las acciones, utilice políticas basadas en la IAM identidad. Amazon Monitron admite acciones, claves de condiciones y recursos específicos. Para obtener información sobre todos los elementos que se utilizan en una JSON política, consulte la Referencia sobre los elementos de la IAM JSON política en la Guía del IAMusuario.

Acciones

Los administradores pueden usar AWS JSON políticas para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.

El Action elemento de una JSON política describe las acciones que puede utilizar para permitir o denegar el acceso en una política. Las acciones de política suelen tener el mismo nombre que la AWS API operación asociada. Hay algunas excepciones, como las acciones que solo permiten permisos y que no tienen una operación coincidente. API También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.

Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.

En Amazon Monitron, las acciones de política utilizan el siguiente prefijo antes de la acción: monitron:. Por ejemplo, para conceder a alguien permiso para crear un proyecto con la operación CreateProject de Amazon Monitron, debe incluir la acción monitron:CreateProject en su política. Las instrucciones de la política deben incluir un elemento Action o un elemento NotAction. Amazon Monitron define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.

nota

Para esta deleteProject operación, debes tener los permisos AWS IAM Identity Center (SSO) para eliminarlos. Sin estos permisos, la función de eliminación aún eliminará el proyecto. Sin embargo, no eliminará los recursos SSO y es posible que acabes con las referencias pendientes. SSO

Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:

"Action": [
      "monitron:action1",
      "monitron:action2"
]

Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra List, incluya la siguiente acción:

"Action": "monitron:List*"

Recursos

Amazon Monitron no admite la especificación de recursos ARNs en una política.

Claves de condición

Los administradores pueden usar AWS JSON las políticas para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.

El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilicen operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.

También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder a un IAM usuario permiso para acceder a un recurso solo si está etiquetado con su nombre de IAM usuario. Para obtener más información, consulte los elementos IAM de la política: variables y etiquetas en la Guía del IAM usuario.

AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del IAMusuario.

Amazon Monitron define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para obtener una lista de todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del IAM usuario.

Para ver una lista de claves de condición de Amazon Monitron, consulte Acciones definidas por Amazon Monitron en IAM la Guía del usuario. Para obtener más información sobre las acciones y los recursos con los que puede utilizar una clave de condición, consulte Acciones definidas por Amazon Monitron.

Ejemplos

Para ver ejemplos de políticas basadas en identidades de Amazon Monitron, consulte Ejemplos de políticas basadas en identidades de Amazon Monitron.

Políticas basadas en recursos de Amazon Monitron

Amazon Monitron no admite políticas basadas en recursos.

Autorización basada en etiquetas de Amazon Monitron

Puede asociar etiquetas a determinados tipos de recursos de Amazon Monitron para autorización. Para controlar el acceso basado en etiquetas, proporcione información de las etiquetas en el elemento de condición de una política utilizando las claves de condición Amazon Monitron:TagResource/${TagKey}, aws:RequestTag/${TagKey} o aws:TagKeys.

Funciones de Amazon Monitron IAM

Un IAMrol es una entidad dentro de su AWS cuenta que tiene permisos específicos.

Uso de credenciales temporales con Amazon Monitron

Puedes usar credenciales temporales para iniciar sesión con la federación, asumir un IAM rol o asumir un rol multicuenta. Para obtener credenciales de seguridad temporales, puede llamar a AWS STS API operaciones como AssumeRoleo GetFederationToken.

Amazon Monitron admite el uso de credenciales temporales.

Roles vinculados a servicios

Las funciones vinculadas al servicio permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados al servicio aparecen en tu IAM cuenta y son propiedad del servicio. Un IAM administrador puede ver los permisos de los roles vinculados al servicio, pero no editarlos.

Amazon Monitron admite roles vinculados a servicios.

Roles de servicio

Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en tu IAM cuenta y son propiedad de la cuenta. Esto significa que un IAM administrador puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.

Amazon Monitron admite roles de servicio.

Ejemplos de políticas basadas en identidades de Amazon Monitron

De forma predeterminada, IAM los usuarios y los roles no tienen permiso para crear o modificar los recursos de Amazon Monitron. Tampoco pueden realizar tareas con. AWS Management Console Un IAM administrador debe conceder permisos a los IAM usuarios, grupos o roles que los requieran. A continuación, estos usuarios, grupos o roles pueden realizar operaciones concretas en los recursos especificados que necesiten. A continuación, el administrador debe adjuntar esas políticas a los IAM usuarios o grupos que requieran esos permisos.

Para obtener información sobre cómo crear una política IAM basada en la identidad con estos documentos de JSON política de ejemplo, consulte Creación de políticas en la JSON pestaña de la Guía del IAMusuario.

Prácticas recomendadas relativas a políticas

Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon Monitron de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:

  • Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Para obtener más información, consulte las políticas AWS gestionadas o las políticas AWS gestionadas para las funciones laborales en la Guía del IAM usuario.

  • Aplique permisos con privilegios mínimos: cuando establezca permisos con IAM políticas, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Para obtener más información sobre cómo IAM aplicar permisos, consulte Políticas y permisos IAM en la IAM Guía del usuario.

  • Utilice las condiciones en IAM las políticas para restringir aún más el acceso: puede añadir una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse medianteSSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte los elementos IAM JSON de la política: Condición en la Guía del IAM usuario.

  • Utilice IAM Access Analyzer para validar sus IAM políticas y garantizar permisos seguros y funcionales: IAM Access Analyzer valida las políticas nuevas y existentes para que se ajusten al lenguaje de las políticas (JSON) y IAM a las IAM mejores prácticas. IAMAccess Analyzer proporciona más de 100 comprobaciones de políticas y recomendaciones prácticas para ayudarle a crear políticas seguras y funcionales. Para obtener más información, consulte la validación de políticas de IAM Access Analyzer en la Guía del IAM usuario.

  • Requerir autenticación multifactorial (MFA): si se encuentra en una situación en la que se requieren IAM usuarios o un usuario raíz Cuenta de AWS, actívela MFA para aumentar la seguridad. Para solicitarlo MFA cuando se convoque a API las operaciones, añada MFA condiciones a sus políticas. Para obtener más información, consulte Configuración del API acceso MFA protegido en la Guía del IAM usuario.

Para obtener más información sobre las prácticas recomendadasIAM, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

Uso de la consola de Amazon Monitron

Para configurar Amazon Monitron mediante la consola, complete el proceso de configuración inicial utilizando un usuario con privilegios elevados (como uno con la política administrada AdministratorAccess vinculada).

Para acceder a la consola de Amazon Monitron para day-to-day realizar operaciones después de la configuración inicial, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de Amazon Monitron de su AWS cuenta e incluir un conjunto de permisos relacionados con IAM Identity Center. Si crea una política basada en la identidad que sea más restrictiva que estos permisos mínimos requeridos, la consola no funcionará según lo previsto para las entidades (IAMusuarios o roles) que cuenten con esa política. Para la funcionalidad básica de la consola de Amazon Monitron, debe vincular la política administrada AmazonMonitronFullAccess. Según las circunstancias, es posible que también necesite permisos adicionales para las Organizaciones y el SSO servicio. Ponte en contacto con el servicio de AWS asistencia si necesitas más información.

Ejemplo: Crear una lista de todos los proyectos de Amazon Monitron

Este ejemplo de política otorga a un IAM usuario de tu AWS cuenta permiso para publicar todos los proyectos de tu cuenta. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "monitron:ListProject"
            "Resource": "*"
        }
    ]
}

Ejemplo: Crear lista de proyectos de Amazon Monitron en función de las etiquetas

Puede utilizar condiciones en su política basada en identidades para controlar el acceso a los recursos de Amazon Monitron en función de las etiquetas. Este ejemplo muestra cómo podría crear una política que permita crear una lista de proyectos. Sin embargo, el permiso se concede solo si la etiqueta de proyecto location tiene el valor Seattle. Esta política también proporciona los permisos necesarios para llevar a cabo esta acción en la consola.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListProjectsInConsole",
            "Effect": "Allow",
            "Action": "monitron:ListProjects",
            "Resource": "*"
       
            "Condition": {
                "StringEquals": {
                     "aws:ResourceTag/location": "Seattle"
                }
            }
        }
    ]
}

Para obtener más información, consulte Elementos IAM JSON de la política: condición en la Guía del IAM usuario.

Solución de problemas de identidad y acceso de Amazon Monitron

Utilice la siguiente información para ayudarle a diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con Amazon Monitron y. IAM

No tengo autorización para realizar una acción en Amazon Monitron

Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.

El siguiente ejemplo de error se produce cuando el mateojackson IAM usuario intenta usar la consola para ver detalles sobre un my-example-widget recurso ficticio, pero no tiene los monitron:GetWidget permisos ficticios.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget

En este caso, la política del usuario mateojackson debe actualizarse para permitir el acceso al recurso my-example-widget mediante la acción monitron:GetWidget.

Si necesita ayuda, póngase en contacto con AWS el administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Amazon Monitron

Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan políticas basadas en recursos o listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.

Para más información, consulte lo siguiente: