Cree funciones y asigne permisos

Los roles y permisos le dan acceso a los recursos, en la Torre de Control Tower de AWS y en otros AWS servicios, incluido el acceso programático a los recursos.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

• Usuarios y grupos en AWS IAM Identity Center:

  Cree un conjunto de permisos. Siga las instrucciones descritas en Crear un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .

• Usuarios administrados en IAM a través de un proveedor de identidades:

  Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.

• Usuarios de IAM:

  • Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.

  • (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.

Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

nota

Al configurar una zona de aterrizaje de AWS Control Tower, necesitará un usuario o un rol con la política AdministratorAccessadministrada. (arn:aws:iam: :aws:policy/) AdministratorAccess

Para crear un rol para una (consola de IAM) Servicio de AWS

1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en https://console.aws.amazon.com/iam/.

2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, elija Crear rol.

3. En Tipo de entidad de confianza, elija Servicio de AWS.

4. En Servicio o caso de uso, seleccione un servicio y, a continuación, el caso de uso. Los casos de uso son definidos por el servicio de modo tal que ya incluyen la política de confianza que el servicio mismo requiere.

5. Elija Siguiente.

6. Para las Políticas de permisos, las opciones dependen del caso de uso que haya seleccionado:

   • Si el servicio define los permisos para el rol, no puede seleccionar políticas de permisos.

   • Seleccione entre un conjunto limitado de políticas de permisos.

   • Seleccione una de todas las políticas de permisos.

   • No seleccione ninguna política de permisos en este momento. Después de crear el rol, genere las políticas y luego asócielas al rol.

7. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

   1. Abra la sección Configurar límite de permisos y, a continuación, elija Utilizar un límite de permisos para controlar los permisos que puede tener el rol como máximo.

      IAM incluye una lista de las políticas AWS gestionadas y gestionadas por los clientes de tu cuenta.

   2. Seleccione la política que desea utilizar para el límite de permisos.

8. Elija Siguiente.

9. Para Nombre del rol, las opciones varían según el servicio:

   • Si el servicio define el nombre del rol, no podrá editarlo.

   • Si el servicio define un prefijo para el nombre del rol, puede ingresar un sufijo opcional.

   • Si el servicio no define el nombre del rol, podrá nombrarlo usted mismo.

     importante

     Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:

     • Los nombres de los roles deben ser únicos dentro de tu perfil Cuenta de AWS y no se pueden hacer únicos por mayúsculas y minúsculas.

       Por ejemplo, no puede crear roles denominados tanto PRODROLE como prodrole. Cuando se utiliza un nombre de rol en una política o como parte de un ARN, el nombre de rol distingue entre mayúsculas y minúsculas, sin embargo, cuando un nombre de rol les aparece a los clientes en la consola, como por ejemplo durante el proceso de inicio de sesión, el nombre de rol no distingue entre mayúsculas y minúsculas.

     • Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.

10. (Opcional) En Descripción, ingrese una descripción para el rol.

11. (Opcional) Para editar los casos de uso y los permisos de la función, en las secciones Paso 1: Seleccionar entidades confiables o en Paso 2: Agregar permisos, elija Editar.

12. (Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM en la Guía de usuario de IAM.

13. Revise el rol y, a continuación, elija Crear rol.

Para utilizar el editor de política de JSON para crear una política

1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en https://console.aws.amazon.com/iam/.

2. En el panel de navegación de la izquierda, seleccione Políticas.

   Si es la primera vez que elige Políticas, aparecerá la página Bienvenido a políticas administradas. Elija Comenzar.

3. En la parte superior de la página, seleccione Crear política.

4. En la sección Editor de políticas, seleccione la opción JSON.

5. Introduzca o pegue un documento de política de JSON. Para obtener más información sobre el lenguaje de la política de IAM, consulte Referencia de políticas JSON de IAM.

6. Resuelva las advertencias de seguridad, errores o advertencias generales generadas durante la validación de política y luego elija Siguiente.

   nota

   Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de política en la Guía del usuario de IAM.

7. (Opcional) Al crear o editar una política en AWS Management Console, puedes generar una plantilla de política JSON o YAML que puedes usar en AWS CloudFormation las plantillas.

   Para ello, en el editor de políticas, selecciona Acciones y, a continuación, selecciona Generar CloudFormation plantilla. Para obtener más información AWS CloudFormation, consulte la referencia sobre AWS Identity and Access Management los tipos de recursos en la Guía del AWS CloudFormation usuario.

8. Cuando haya terminado de agregar permisos a la política, seleccione Siguiente.

9. En la página Revisar y crear, introduzca el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para ver los permisos que concede la política.

10. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM en la Guía de usuario de IAM.

11. Elija Crear política para guardar la nueva política.

Para utilizar el editor visual para crear una política

1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en https://console.aws.amazon.com/iam/.

2. En el panel de navegación de la izquierda, seleccione Políticas.

   Si es la primera vez que elige Políticas, aparecerá la página Bienvenido a políticas administradas. Elija Get Started (Comenzar).

3. Elija Create Policy (Crear política).

4. En la sección del editor de políticas, busque la sección Seleccione un servicio y, a continuación, elija un Servicio de AWS. Puede utilizar el cuadro de búsqueda en la parte superior para limitar los resultados en la lista de servicios. Puede elegir solo un servicio dentro de un bloque de permisos de editor visual. Para conceder acceso a más de un servicio, agregue varios bloques de permisos seleccionando Agregar más permisos.

5. En Acciones permitidas, seleccione las acciones que desee agregar a la política. Puede elegir acciones de una de las siguientes formas:

   • Active la casilla de verificación para todas las acciones.

   • Selecciona Añadir acciones para introducir el nombre de una acción específica. Puede utilizar un carácter comodín (*) para especificar varias acciones.

   • Seleccione uno de los grupos de niveles de acceso para elegir todas las acciones del nivel de acceso (por ejemplo, Leer, Escribir, o Lista).

   • Amplíe cada uno de los grupos Access level (Nivel de acceso) para elegir acciones individuales.

   De forma predeterminada, la política que está creando permite las acciones que usted elija. Para denegar las acciones elegidas, seleccione Switch to deny permissions (Cambiar a denegar permisos). Dado que IAM deniega de forma predeterminada, por motivos de seguridad recomendamos que permita solo aquellas acciones y recursos a los que un usuario necesita acceso. Cree una declaración JSON para denegar los permisos solo si desea anular un permiso permitido por separado por otra declaración o política. Le recomendamos que limite al mínimo el número de operaciones de denegación de permisos, ya que pueden aumentar la dificultad de solucionar problemas con los permisos.

6. Para Recursos, si el servicio y las acciones que seleccionó en los pasos anteriores no admiten la elección de recursos específicos, todos los recursos están permitidos y no puede editar esta sección.

   Si eligió una o más acciones que admiten permisos en el nivel de recursos, el editor visual enumera dichos recursos. A continuación, puede elegir Resources (Recursos) para especificar los recursos para su política.

   Puede especificar recursos de las siguientes maneras:

   • Seleccione Agregar ARN para especificar recursos por su nombre de recurso de Amazon (ARN). Puede utilizar el editor ARN visual o enumerar ARN manualmente. Para obtener más información sobre la sintaxis de los ARN, consulte Nombres de recursos de Amazon (ARN) en la Guía del usuario de IAM. Para obtener información sobre el uso de los ARN en el Resource elemento de una política, consulte Elementos de la política JSON de IAM: recurso en la Guía del usuario de IAM.

   • Seleccione Cualquiera de esta cuenta junto a un recurso para conceder permisos a cualquier recurso de ese tipo.

   • Seleccione Todos para seleccionar todos los recursos para el servicio.

7. (Opcional) Seleccione Solicitar condiciones: opcional para agregar condiciones a la política que está creando. Las condiciones limitan el efecto de una instrucción de política de JSON. Por ejemplo, puede especificar que a un usuario se le permite realizar las acciones en los recursos solo cuando la solicitud de dicho usuario se produce dentro de un intervalo de tiempo determinado. También puede usar las condiciones de uso común para limitar si un usuario debe autenticarse mediante un dispositivo de autenticación multifactor (MFA). O bien puede exigir que la solicitud se origine dentro de un determinado rango de direcciones IP. Para ver una lista de todas las claves de contexto que puede usar en una condición de política, consulte Acciones, recursos y claves de condición de los AWS servicios en la Referencia de autorización de servicios.

   Puede elegir las condiciones de una de las siguientes formas:

   • Utilice las casillas de verificación para seleccionar condiciones de uso común.

   • Seleccione Agregar otra condición para especificar otras condiciones. Elija la clave de condición, el calificador y el operador de la condición y, a continuación, introduzca un valor. Para agregar más de un valor, seleccione Agregar. Puede considerar que los valores están conectados por un OR operador lógico. Cuando haya terminado, seleccione Agregar condición.

   Para agregar más de una condición, vuelva a seleccionar Agregar condición. Repita este procedimiento según sea necesario. Cada condición se aplica únicamente a este bloque de permisos del editor visual. Todas las condiciones deben ser "true" para que el bloque de permisos se considere una coincidencia. En otras palabras, considere las condiciones que se van a conectar mediante un AND operador lógico.

   Para obtener más información sobre el elemento Condición, consulte Elementos de la política JSON de IAM: Condición en la Guía del usuario de IAM.

8. Para agregar más bloques de permisos, seleccione Agregar más permisos. Para cada bloque, repita los pasos 2 a 5.

   nota

   Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de política en la Guía del usuario de IAM.

9. (Opcional) Al crear o editar una política en AWS Management Console, puedes generar una plantilla de política JSON o YAML que puedes usar en las plantillas. AWS CloudFormation

   Para ello, en el editor de políticas, selecciona Acciones y, a continuación, selecciona Generar CloudFormation plantilla. Para obtener más información AWS CloudFormation, consulte la referencia sobre AWS Identity and Access Management los tipos de recursos en la Guía del AWS CloudFormation usuario.

10. Cuando haya terminado de agregar permisos a la política, seleccione Siguiente.

11. En la página Revisar y crear, introduzca el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para asegurarse de que ha concedido los permisos deseados.

12. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetado de recursos de IAM en la Guía de usuario de IAM.

13. Elija Crear política para guardar la nueva política.

Para conceder acceso programático

Los usuarios necesitan acceso programático si quieren interactuar con personas AWS ajenas a. AWS Management Console La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.

¿Qué usuario necesita acceso programático?	Para	Mediante
Identidad del personal (Usuarios administrados en el Centro de identidades de IAM)	Usa credenciales temporales para firmar las solicitudes programáticas a los AWS CLI AWS SDK o las API. AWS	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Configuración del uso AWS IAM Identity Center en AWS CLI la Guía del AWS Command Line Interface usuario. Para ver AWS los SDK, las herramientas y las AWS API, consulte la autenticación del IAM Identity Center en la Guía de referencia de AWS los SDK y las herramientas.
IAM	Utilice credenciales temporales para firmar las solicitudes programáticas a los AWS SDK o las AWS CLI API. AWS	Siga las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía del usuario de IAM.
IAM	(No recomendado) Utilice credenciales de larga duración para firmar las solicitudes programáticas a los AWS CLI AWS SDK o las API. AWS	Siga las instrucciones de la interfaz que desea utilizar: Para ello AWS CLI, consulte Autenticación con credenciales de usuario de IAM en la Guía del usuario.AWS Command Line Interface Para obtener información AWS sobre los SDK y las herramientas, consulte Autenticarse con credenciales de larga duración en la Guía de referencia de los AWS SDK y las herramientas. Para obtener información AWS sobre las API, consulte Administrar las claves de acceso para los usuarios de IAM en la Guía del usuario de IAM.

Protéjase contra los atacantes

Para obtener más información sobre cómo protegerte de los atacantes cuando concedes permisos a otros directores de AWS servicio, consulta las condiciones opcionales de las relaciones de confianza en tus funciones. Si añades determinadas condiciones a tus políticas, puedes ayudar a prevenir un tipo específico de ataque, conocido como ataque de ayudante confuso, que se produce cuando una entidad coacciona a una entidad con más privilegios para que lleve a cabo una acción, como la suplantación de identidad entre servicios. Para obtener información general sobre las condiciones de la política, consulte también. Especificación de las condiciones de una política

Para obtener más información sobre el uso de políticas basadas en la identidad con AWS Control Tower, consulte. Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.