Identity and Access Management os en Amazon Cloud Directory

El acceso a Amazon Cloud Directory requiere credenciales que AWS puede utilizar para autenticar las solicitudes. Estas credenciales deben tener permisos para obtener acceso a los recursos de AWS. En las siguientes secciones presentamos más detalles sobre cómo usarAWS Identity and Access Management (IAM)Para Cloud Directory proteger los recursos de controlando quién puede obtener acceso a ellos:

• Authentication

• Control de acceso

Authentication

Puede obtener acceso a AWS con los siguientes tipos de identidades:

• Usuario de la cuenta raíz de AWS: cuando se crea por primera vez una cuenta de AWS, se comienza con una identidad de inicio de sesión único que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la cuenta de AWS y para obtener acceso a ella se inicia sesión con la dirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Le recomendamos encarecidamente que no utilice el usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello, es mejor ceñirse a la práctica recomendada de utilizar el usuario final exclusivamente para crear al primer usuario de IAM. A continuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunas tareas de administración de cuentas y servicios.

• Usuario de IAM— UnUsuario de IAMes una identidad dentro de su cuenta de AWS que tiene permisos personalizados específicos (por ejemplo, permisos para crear un directorio en Cloud Directory). Puede utilizar un nombre de usuario de IAM y una contraseña para iniciar sesión en páginas web seguras de AWS, como la consola de administración de AWS, los foros de debate de AWS o el Centro de soporte de AWS.

   

  Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para cada usuario. Puede utilizar estas claves cuando obtenga acceso a los servicios de AWS mediante programación, ya sea a través de uno de los varios SDK o mediante la interfaz de línea de comandos (CLI) de AWS. El SDK y las herramientas de CLI usan claves de acceso para firmar criptográficamente su solicitud. Si no utiliza las herramientas de AWS, debe firmar usted mismo la solicitud. Compatible con Cloud DirectorySignature Version 4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información sobre las solicitudes de autenticación, consulte Proceso de firma de Signature Version 4 en la Referencia general de AWS.

   

• Rol de IAM: un rol de IAM es una identidad de IAM que puede crear en la cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM, ya que se trata de una AWS Identity con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. Sin embargo, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

   

  • Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede usar identidades existentes de AWS Directory Service, el directorio de usuarios de la compañía o un proveedor de identidad web. Esto se conoce como usuarios federados. AWS asigna un rol a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios y roles federados en la Guía del usuario de IAM.

     

  • Acceso a los servicios de AWS: un rol de servicio es un rol de IAM que un servicio asume para realizar acciones en su nombre. Los roles de servicio ofrecen acceso solo dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.

     

  • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM para administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizan solicitudes de la API y la CLI de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Aunque disponga de credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear recursos de Cloud Directory ni obtener acceso a ellos. Por ejemplo, debe tener permiso para crear un directorio en Amazon Cloud Directory.

En las siguientes secciones se describe cómo administrar los permisos para Cloud Directory. Le recomendamos que lea primero la información general.

• Información general de la administración de permisos de acceso a los recursos de Cloud Directory

• Uso de políticas basadas en identidad (políticas de IAM) para Cloud Directory

• Permisos de la API de Amazon Cloud Directory: Referencia de acciones, recursos y condiciones