Administre el acceso a los recursos - AWS Control Tower
Acerca de las políticas basadas en la identidad (políticas) IAMPolíticas basadas en recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administre el acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se analiza el uso IAM en el contexto de la Torre de AWS Control. No proporciona información detallada sobre el IAM servicio. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las políticas, consulte AWS IAMReferencia de políticas en la Guía IAM del usuario.

Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas). Las políticas que se adjuntan a un recurso se denominan políticas basadas en recursos.

nota

AWSControl Tower solo admite políticas basadas en la identidad (IAMpolíticas).

Temas

Acerca de las políticas basadas en la identidad (políticas) IAM

Puede adjuntar políticas a las identidades. IAM Por ejemplo, puede hacer lo siguiente:

  • Adjunta una política de permisos a un usuario o grupo de tu cuenta: para conceder a un usuario permisos para crear un recurso de la Torre de AWS Control Tower, como la configuración de una landing zone, puedes adjuntar una política de permisos a un usuario o grupo al que pertenezca el usuario.

  • Adjuntar una política de permisos a un rol (conceder permisos entre cuentas): puedes adjuntar una política de permisos basada en la identidad a un IAM rol para conceder permisos entre cuentas. Por ejemplo, un administrador para una AWS la cuenta (cuenta A) puede crear un rol que conceda permisos entre cuentas a otro AWS cuenta (cuenta B), o el administrador puede crear un rol que conceda permisos a otro AWS servicio.

    1. El administrador de la cuenta A crea un IAM rol y adjunta una política de permisos al rol que otorga permisos para administrar los recursos de la cuenta A.

    2. El administrador de la cuenta A adjunta una política de confianza al rol. La política identifica la cuenta B como la entidad principal, que puede asumir el rol.

    3. Como principal, el administrador de la cuenta B puede conceder permiso a cualquier usuario de la cuenta B para que asuma la función. Al asumir esa función, los usuarios de la cuenta B pueden crear recursos de la cuenta A u obtener acceso a ellos.

    4. Para conceder un AWS servicio la capacidad (permisos) de asumir el rol, el principal que especifique en la política de confianza puede ser un AWS servicio.

Políticas basadas en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. AWSControl Tower no admite políticas basadas en recursos.