Estructura de la política - AWS Batch
Sintaxis de la políticaAcciones de AWS BatchNombres de recursos de Amazon para AWS BatchProbar los permisos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Estructura de la política

En los siguientes temas se explica la estructura de una política de IAM.

Sintaxis de la política

Una política de IAM es un documento JSON que contiene una o varias instrucciones. Cada instrucción tiene la estructura siguiente.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
    "key":"value"
    }
      }
    }
  ]
}

Una instrucción está compuesta por varios elementos:

  • Effect: el valor de effect puede ser Allow o Deny. Por defecto, los usuarios no tienen permiso para utilizar recursos y acciones de la API. De este modo, se deniegan todas las solicitudes. Si se concede un permiso explícito se anula el valor predeterminado. Una denegación explícita invalida cualquier permiso concedido.

  • Acción: La acción es la acción específica de la API para la que está concediendo o denegando el permiso. Para obtener instrucciones acerca de cómo especificar la acción, consulte Acciones de AWS Batch.

  • Resource: el recurso al que afecta la acción. Con algunas acciones de la API de AWS Batch, puede incluir recursos específicos en su política que pueden ser creados o modificados por la acción. Para especificar un recurso en la instrucción se utiliza el nombre de recurso de Amazon (ARN). Para obtener más información, consulte Permisos de nivel de recursos compatibles para las acciones AWS Batch API y Nombres de recursos de Amazon para AWS Batch. Si la operación de la API AWS Batch, no admite actualmente permisos a nivel de recurso, incluya un comodín (*) para especificar que la acción puede afectar a todos los recursos.

  • Condition: las condiciones son opcionales. Se pueden usar para controlar cuándo está en vigor la política.

Para obtener más información sobre ejemplos de declaraciones de política de IAM para AWS Batch, consulte Crear políticas de IAM AWS Batch.

Acciones de AWS Batch

En una instrucción de política de IAM, puede especificar cualquier acción de API de cualquier servicio que sea compatible con IAM. Para AWS Batch, use el prefijo siguiente con el nombre de la acción de API: batch: (por ejemplo, batch:SubmitJob y batch:CreateComputeEnvironment).

Para especificar varias acciones en una única sentencia, separe cada acción con una coma.

"Action": ["batch:action1", "batch:action2"]

También puede especificar varias acciones mediante un comodín (*). Por ejemplo, puede especificar todas las acciones cuyo nombre empiece por la palabra «Describe».

"Action": "batch:Describe*"

Para especificar todas las acciones de la API de AWS Batch , incluya un comodín (*).

"Action": "batch:*"

Para obtener una lista de acciones de AWS Batch, consulte Acciones en la Referencia de la API AWS Batch.

Nombres de recursos de Amazon para AWS Batch

Cada declaración de política de IAM se aplica a los recursos que especifique utilizando su Nombre de recurso de Amazon (ARN).

Un Nombre de recurso de Amazon (ARN) tiene la siguiente sintaxis general:

arn:aws:[service]:[region]:[account]:resourceType/resourcePath
service

El servicio (por ejemplo, batch).

region

La Región de AWS para el recurso (por ejemplo, us-east-2).

cuenta

El ID de Cuenta de AWS, sin guiones (por ejemplo, 123456789012).

resourceType

El tipo de recurso (por ejemplo, compute-environment).

resourcePath

Una ruta que identifica al recurso. Puede utilizar un comodín (*) en sus rutas.

Algunas de las operaciones de la API de AWS Batch actualmente admiten los permisos de nivel de recursos. Para obtener más información, consulte Permisos de nivel de recursos compatibles para las acciones AWS Batch API. Para especificar todos los recursos, o si una acción de API específica no admite ARN, incluya el comodín asterisco (*) en el elemento Resource.

"Resource": "*"

Comprobar que los usuarios tienen los permisos necesarios

Antes de poner una política de IAM en producción, asegúrese de que concede a los usuarios los permisos para utilizar las acciones y recursos específicos de la API que necesitan.

Para ello, cree primero un usuario de prueba y adjúntele la política de IAM. A continuación, realice una solicitud como usuario de prueba. Puede realizar solicitudes de prueba en la consola o con la AWS CLI.

nota

También puede probar las políticas con el Simulador de políticas de IAM. Para obtener más información sobre el simulador de políticas, consulte Trabajar con el simulador de políticas de IAM en la Guía del usuario de IAM.

Si la política no concede los permisos previstos al usuario o es demasiado permisiva, puede ajustarla según sea necesario. Repita las pruebas hasta obtener el resultado deseado.

importante

Puede que los cambios en la política tarden varios minutos en propagarse y surtir efecto. Por lo tanto, le recomendamos que deje pasar al menos cinco minutos antes de probar las actualizaciones de sus políticas.

Si se produce un error en la comprobación de autorización, la solicitud devuelve un mensaje codificado con información de diagnóstico. Puede descodificar el mensaje usando la acción DecodeAuthorizationMessage. Para obtener más información, consulte DecodeAuthorizationMessage en la Referencia de la API de AWS Security Token Service y decode-authorization-message en la Referencia de comandos de la AWS CLI.