Identity and Access Management en Amazon DynamoDB - Amazon DynamoDB

Identity and Access Management en Amazon DynamoDB

El acceso a Amazon DynamoDB requiere credenciales. Estas credenciales deben tener permisos para obtener acceso a los recursos de AWS, como una tabla de Amazon DynamoDB o una instancia de Amazon Elastic Compute Cloud (Amazon EC2). Las secciones contienen información detallada acerca de cómo puede utilizar AWS Identity and Access Management (IAM) y DynamoDB para proteger sus recursos controlando quién puede obtener acceso a ellos.

Authentication

Puede obtener acceso a AWS con los siguientes tipos de identidades:

  • Usuario raíz de Cuenta de AWS: cuando se crea una cuenta de Cuenta de AWS por primera vez, comienza con una única identidad de inicio de sesión que tiene acceso total a todos los servicios y recursos de AWS en la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con la dirección de email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar el usuario final exclusivamente para crear al primer usuario de IAM. A continuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunas tareas de administración de cuentas y servicios.

  • Usuario de IAM: un usuario de IAM es una identidad dentro de su cuenta de Cuenta de AWS que tiene permisos personalizados específicos (por ejemplo, permisos para crear una tabla en DynamoDB). Puede utilizar un nombre de usuario y una contraseña de IAM para iniciar sesión en páginas web seguras de AWS tales como AWS Management Console, foros de discusión de AWS o el Centro de AWS Support.

     

    Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS mediante programación, ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y las herramientas de CLI utilizan claves de acceso para firmar criptográficamente una solicitud. Si no utiliza las herramientas de AWS, debe firmar usted mismo la solicitud. DynamoDB es compatible con Signature Version 4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de cómo autenticar solicitudes, consulte Proceso de firma de Signature Version 4 en la Referencia general de AWS.

     

  • Rol de IAM: un rol de IAM es una identidad de IAM que puede crear en la cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM en que se trata de una identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

     

    • Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede utilizar identidades existentes de AWS Directory Service, del directorio de usuarios de su compañía o de un proveedor de identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

       

    • Acceso a los servicios de AWS: un rol de servicio es un rol de IAM que un servicio asume para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.

       

    • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM que le permita administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizan solicitudes a la AWS CLI o a la API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Aunque disponga de credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear recursos de Amazon DynamoDB ni obtener acceso a ellos. Por ejemplo, debe tener permiso para crear una tabla de Amazon DynamoDB.

En las secciones siguientes, se describe cómo administrar los permisos de Amazon DynamoDB. Recomendamos que lea primero la información general.