AWS Identity and Access Management en AWS Cloud Map - AWS Cloud Map
AutenticaciónControl de acceso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Identity and Access Management en AWS Cloud Map

Para realizar cualquier acción en AWS Cloud Map los recursos, como registrar un dominio o actualizar un registro, AWS Identity and Access Management (IAM) requiere que autentiques que eres un usuario aprobado AWS . Si utilizas la AWS Cloud Map consola, autenticas tu identidad proporcionando tu nombre de AWS usuario y una contraseña. Si accedes AWS Cloud Map mediante programación, la aplicación autentica tu identidad por ti mediante claves de acceso o firmando las solicitudes.

Tras autenticar su identidad, IAM controla su acceso AWS comprobando que tiene permisos para realizar acciones y acceder a los recursos. Si es un administrador de la cuenta, puede utilizar IAM para controlar el acceso de otros usuarios a los recursos que están asociados a dicha cuenta.

En este capítulo, se explica cómo utilizar IAM y cómo ayudarle AWS Cloud Map a proteger sus recursos.

Temas

Autenticación

Puede acceder a AWS cualquiera de las siguientes opciones:

  • Usuario raíz de la cuenta de AWS: cuando se crea por primera vez una cuenta de AWS , se comienza con una única identidad de inicio de sesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad recibe el nombre de Usuario raíz de la cuenta de AWS y se obtiene acceso a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Cuando creas una Cuenta de AWS, comienzas con una identidad de inicio de sesión que tiene acceso completo a todos Servicios de AWS los recursos de la cuenta. Esta identidad se denomina usuario Cuenta de AWS raíz y se accede a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizaste para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Guía del usuario de IAM.

  • Usuario de IAM: un usuario de IAM es una identidad de tu AWS cuenta que tiene permisos personalizados específicos (por ejemplo, permisos para crear un espacio de nombres HTTP). AWS Cloud MapPuedes usar tus credenciales de inicio de sesión de IAM para proteger AWS páginas web como Re:post o Center. AWS Management ConsoleAWSAWS Support

    Además de las credenciales de inicio de sesión, puede generar claves de acceso para cada usuario. Puede utilizar estas claves al acceder a AWS los servicios mediante programación, ya sea mediante uno de los diversos SDK o mediante el. AWS Command Line Interface El SDK y las herramientas de CLI utilizan claves de acceso para firmar criptográficamente una solicitud. Si no utilizas AWS herramientas, debes firmar la solicitud tú mismo. AWS Cloud Map es compatible con la versión 4 de Signature, un protocolo para autenticar las solicitudes de API entrantes. Para obtener más información sobre la autenticación de las solicitudes, consulte Firmar las solicitudes de la AWS API en la Guía del AWS Identity and Access Management usuario.

  • Rol de IAM: un rol de IAM es una identidad de IAM que puede crear en su cuenta con permisos específicos. Una función de IAM es similar a la de un usuario de IAM en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en ella. AWS No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

    • Acceso de usuario federado: en lugar de crear un usuario de IAM, puede utilizar las identidades de usuario existentes AWS Directory Service, del directorio de usuarios de su empresa o de un proveedor de identidades web. Se conocen como usuarios federados. AWS asigna un rol a un usuario federado cuando se solicita el acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

    • AWS acceso al servicio: puedes usar un rol de IAM en tu cuenta para conceder permisos a un AWS servicio para acceder a los recursos de tu cuenta. Por ejemplo, puede crear una función que permita a Amazon Redshift obtener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del usuario de IAM.

    • Aplicaciones que se ejecutan en Amazon EC2: puede usar un rol de IAM para administrar las credenciales temporales de las aplicaciones que se ejecutan en una instancia de Amazon EC2 y realizan solicitudes de API. AWS Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de Amazon EC2. Para asignar un AWS rol a una instancia de Amazon EC2 y ponerlo a disposición de todas sus aplicaciones, debe crear un perfil de instancia adjunto a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se encuentran en ejecución en la instancia de Amazon EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias de Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Para crear, actualizar, eliminar o enumerar AWS Cloud Map recursos, necesita permisos para realizar la acción y necesita permiso para acceder a los recursos correspondientes. Además, para realizar la acción mediante programación, necesita claves de acceso válidas.

En las siguientes secciones se describe cómo administrar los permisos para AWS Cloud Map. Recomendamos que lea primero la información general.