Identity and Access Management - Amazon DynamoDB

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identity and Access Management

El acceso a Amazon DynamoDB requiere credenciales de. Estas credenciales deben tener permisos para obtener acceso aAWSRecursos de, como una tabla de Amazon DynamoDB o una instancia de Amazon Elastic Compute Cloud (Amazon EC2). En las siguientes secciones presentamos más detalles sobre cómo usarAWS Identity and Access Management(IAM)DynamoDB para ayudar a proteger el acceso a los recursos de.

Authentication

Puede obtener acceso a AWS con los siguientes tipos de identidades:

  • AWSUsuario raíz de la cuenta de— Cuando crea por primera vez unAWS, comienza con una única identidad de inicio de sesión que tiene acceso completo a todos losAWSServicios y recursos de la cuenta. Esta identidad se denominaAWSaccountUsuario raízPara obtener acceso a ella, inicie sesión con la dirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Le recomendamos que no utilice el usuario raíz en sus tareas cotidianas, incluso las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar el usuario final exclusivamente para crear al primer usuario de IAM. A continuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunas tareas de administración de cuentas y servicios.

  • Usuario de IAM— UnUsuario de IAMes una identidad dentro de suAWSLa cuenta tiene permisos personalizados específicos (por ejemplo, permisos para crear una tabla de en DynamoDB). Puede utilizar un nombre de usuario y contraseña de IAM para iniciar sesión yAWSPáginas web comoAWS Management Console,AWSForos de debate de, o elAWS SupportCenter.

    Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación, ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y las herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza las herramientas de AWS, debe firmar usted mismo la solicitud. DynamoDB admiteSignature Version 4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de la autenticación de solicitudes, consulteProceso de firma de Signature Version 4en laAWSReferencia general de.

  • Rol de IAM: un rol de IAM es una identidad de IAM que puede crear en la cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM, ya que se trata de unAWSidentidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer enAWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

    • Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede utilizar identidades existentes deAWS Directory Service, el directorio de usuarios de la compañía o un proveedor de identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

    • AWSAcceso a servicios de :— Un rol de servicio es unRol de IAMUn servicio asume para realizar acciones en su nombre. Los roles de servicio ofrecen acceso solo dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulteCreación de un rol para delegar permisos a unAWSServicioen laGuía del usuario de IAM.

    • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM para administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizanAWS CLIorAWSSolicitudes de API. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Puede tener credenciales válidas para autenticar las solicitudes pero, a menos que tenga permisos, no podrá crear recursos de Amazon DynamoDB ni obtener acceso a ellos. Por ejemplo, debe tener permiso para crear una tabla de Amazon DynamoDB.

En las siguientes secciones se describe cómo administrar los permisos de Amazon DynamoDB. Le recomendamos que lea primero la información general.