Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Creación de roles y asignación de permisos

PDF
RSS
Modo de enfoque
Creación de roles y asignación de permisos - AWS Control Tower
Protección contra atacantes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Los roles y los permisos le dan acceso a los recursos, en AWS Control Tower y en otros servicios de AWS , incluido el acceso programático a los recursos.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

nota

Al configurar una zona de aterrizaje de AWS Control Tower, necesitará un usuario o un rol con la política AdministratorAccessadministrada. (arn:aws:iam: :aws:policy/) AdministratorAccess

Para crear un rol para una (consola de IAM) Servicio de AWS

  1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación de la consola de IAM, seleccione Roles y, a continuación, elija Crear rol.

  3. En Tipo de entidad de confianza, elija Servicio de AWS.

  4. En Servicio o caso de uso, seleccione un servicio y, a continuación, el caso de uso. Los casos de uso son definidos por el servicio de modo tal que ya incluyen la política de confianza que el servicio mismo requiere.

  5. Elija Next (Siguiente).

  6. Para las Políticas de permisos, las opciones dependen del caso de uso que haya seleccionado:

    • Si el servicio define los permisos para el rol, no puede seleccionar políticas de permisos.

    • Seleccione entre un conjunto limitado de políticas de permisos.

    • Seleccione una de todas las políticas de permisos.

    • No seleccione políticas de permisos en este momento. Después de crear el rol, genere las políticas y luego asócielas al rol.

  7. (Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

    1. Abra la sección Configurar límite de permisos y, a continuación, elija Utilizar un límite de permisos para controlar los permisos que puedes tener el rol como máximo.

      IAM incluye una lista de las políticas AWS gestionadas y gestionadas por los clientes de tu cuenta.

    2. Seleccione la política que desea utilizar para el límite de permisos.

  8. Elija Next (Siguiente).

  9. Para Nombre del rol, las opciones varían según el servicio:

    • Si el servicio define el nombre del rol, no podrá editarlo.

    • Si el servicio define un prefijo para el nombre del rol, puede ingresar un sufijo opcional.

    • Si el servicio no define el nombre del rol, podrá nombrarlo usted mismo.

      importante

      Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:

      • Los nombres de los roles deben ser únicos dentro de tu perfil Cuenta de AWS y no se pueden hacer únicos por mayúsculas y minúsculas.

        Por ejemplo, no puedes crear roles denominados tanto PRODROLE como prodrole. Cuando se utiliza un nombre de rol en una política o como parte de un ARN, el nombre de rol distingue entre mayúsculas y minúsculas, sin embargo, cuando un nombre de rol les aparece a los clientes en la consola, como por ejemplo durante el proceso de inicio de sesión, el nombre de rol no distingue entre mayúsculas y minúsculas.

      • Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.

  10. (Opcional) En Descripción, ingrese una descripción para el rol.

  11. (Opcional) Para editar los casos de uso y los permisos de la función, en las secciones Paso 1: Seleccionar entidades confiables o en Paso 2: Agregar permisos, elija Editar.

  12. (Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetas para obtener AWS Identity and Access Management recursos en la Guía del usuario de IAM.

  13. Revise el rol y, a continuación, elija Crear rol.

Utilización del editor de política de JSON para la creación de una política

  1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación de la izquierda, elija Políticas.

    Si es la primera vez que elige Políticas, aparecerá la página Welcome to Managed Policies (Bienvenido a políticas administradas). Elija Comenzar.

  3. En la parte superior de la página, seleccione Crear política.

  4. En la sección Editor de políticas, seleccione la opción JSON.

  5. Introduzca o pegue un documento de política de JSON. Para obtener más información sobre el lenguaje de la política de IAM, consulte Referencia de políticas JSON de IAM.

  6. Resuelva las advertencias de seguridad, errores o advertencias generales que se generen durante la validación de la política y luego elija Siguiente.

    nota

    Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de política en la Guía del usuario de IAM.

  7. (Opcional) Al crear o editar una política en AWS Management Console, puedes generar una plantilla de política JSON o YAML que puedes usar en AWS CloudFormation las plantillas.

    Para ello, en el editor de políticas, selecciona Acciones y, a continuación, selecciona Generar CloudFormation plantilla. Para obtener más información AWS CloudFormation, consulte la referencia sobre AWS Identity and Access Management los tipos de recursos en la Guía del AWS CloudFormation usuario.

  8. Cuando haya terminado de agregar permisos a la política, seleccione Siguiente.

  9. En la página Revisar y crear, introduzca el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para ver los permisos que concede la política.

  10. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetas para AWS Identity and Access Management recursos en la Guía del usuario de IAM.

  11. Elija Crear política para guardar la nueva política.

Para utilizar el editor visual para crear una política

  1. Inicie sesión en la consola de IAM AWS Management Console y ábrala en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación de la izquierda, elija Políticas.

    Si es la primera vez que elige Políticas, aparecerá la página Welcome to Managed Policies (Bienvenido a políticas administradas). Elija Get Started (Comenzar).

  3. Elija Create Policy (Crear política).

  4. En la sección Editor de políticas, busque la sección Seleccionar un servicio y, a continuación, seleccione un Servicio de AWS. Puede utilizar el cuadro de búsqueda en la parte superior para limitar los resultados en la lista de servicios. Puede elegir solo un servicio dentro de un bloque de permisos de editor visual. Para conceder acceso a más de un servicio, agregue varios bloques de permisos seleccionando Agregar más permisos.

  5. En Acciones permitidas, seleccione las acciones que desee agregar a la política. Puede elegir acciones de una de las siguientes formas:

    • Active la casilla de verificación para todas las acciones.

    • Elija Agregar acciones para introducir el nombre de una acción específica. Puede utilizar un carácter comodín (*) para especificar varias acciones.

    • Seleccione uno de los grupos de niveles de acceso para elegir todas las acciones del nivel de acceso (por ejemplo, Leer, Escribir, o Lista).

    • Amplíe cada uno de los grupos Access level (Nivel de acceso) para elegir acciones individuales.

    De forma predeterminada, la política que está creando permite las acciones que usted elija. Para denegar las acciones elegidas, seleccione Switch to deny permissions (Cambiar a denegar permisos). Dado que IAM deniega de forma predeterminada, por motivos de seguridad recomendamos que permita solo aquellas acciones y recursos a los que un usuario necesita acceso. Cree una instrucción JSON para denegar permisos únicamente si desea invalidar un permiso que otra instrucción o política permite. Le recomendamos que limite al mínimo el número de operaciones de denegación de permisos, ya que pueden aumentar la dificultad de solucionar problemas con los permisos.

  6. Para Recursos, si el servicio y las acciones que seleccionó en los pasos anteriores no admiten la elección de recursos específicos, todos los recursos están permitidos y no puede editar esta sección.

    Si eligió una o más acciones que admiten permisos en el nivel de recursos, el editor visual enumera dichos recursos. A continuación, puede elegir Resources (Recursos) para especificar los recursos para su política.

    Puede especificar recursos de las siguientes maneras:

    • Elija Agregar ARNs para especificar los recursos por sus nombres de recursos de Amazon (ARN). Puede utilizar el editor visual de ARN o la lista ARNs manualmente. Para obtener más información sobre la sintaxis del ARN, consulte Amazon Resource Names (ARNs) en la Guía del usuario de IAM. Para obtener información sobre su uso ARNs como Resource elemento de una política, consulte Elementos de la política JSON de IAM: recurso en la Guía del usuario de IAM.

    • Seleccione Cualquiera de esta cuenta junto a un recurso para conceder permisos a cualquier recurso de ese tipo.

    • Seleccione Todos para seleccionar todos los recursos para el servicio.

  7. (Opcional) Seleccione Solicitar condiciones: opcional para agregar condiciones a la política que está creando. Las condiciones limitan el efecto de una instrucción de política de JSON. Por ejemplo, puede especificar que a un usuario se le permite realizar las acciones en los recursos solo cuando la solicitud de dicho usuario se produce dentro de un intervalo de tiempo determinado. También puede utilizar condiciones de uso común para limitar si un usuario debe autenticarse con un dispositivo de autenticación multifactor (MFA). O bien puede exigir que la solicitud se origine dentro de un determinado rango de direcciones IP. Para ver una lista de todas las claves de contexto que puedes usar en una condición de política, consulta las acciones, los recursos y las claves de condición de los AWS servicios en la Referencia de autorización de servicios.

    Puede elegir las condiciones de una de las siguientes formas:

    • Utilice las casillas de verificación para seleccionar condiciones de uso común.

    • Seleccione Agregar otra condición para especificar otras condiciones. Elija los valores Clave de condición, Calificador y Operador de la condición y, a continuación, escriba un Valor. Para agregar más de un valor, seleccione Agregar. Puede considerar que los valores están conectados mediante un operador lógico OR. Cuando haya terminado, seleccione Agregar condición.

    Para agregar más de una condición, vuelva a seleccionar Agregar condición. Repita este procedimiento según sea necesario. Cada condición se aplica únicamente a este bloque de permisos del editor visual. Todas las condiciones deben ser "true" para que el bloque de permisos se considere una coincidencia. En otras palabras, considere que las condiciones están conectadas mediante un operador lógico AND.

    Para obtener más información acerca del elemento de condición, consulte Elementos de política JSON de IAM: Condition en la Guía del usuario de IAM.

  8. Para agregar más bloques de permisos, seleccione Agregar más permisos. Para cada bloque, repita los pasos 2 a 5.

    nota

    Puede alternar entre las opciones Visual y JSON del editor en todo momento. No obstante, si realiza cambios o selecciona Siguiente en la opción Visual del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte Reestructuración de política en la Guía del usuario de IAM.

  9. (Opcional) Al crear o editar una política en AWS Management Console, puedes generar una plantilla de política JSON o YAML que puedes usar en AWS CloudFormation las plantillas.

    Para ello, en el editor de políticas, selecciona Acciones y, a continuación, selecciona Generar CloudFormation plantilla. Para obtener más información AWS CloudFormation, consulte la referencia sobre AWS Identity and Access Management los tipos de recursos en la Guía del AWS CloudFormation usuario.

  10. Cuando haya terminado de agregar permisos a la política, seleccione Siguiente.

  11. En la página Revisar y crear, introduzca el Nombre de la política y la Descripción (opcional) para la política que está creando. Revise los Permisos definidos en esta política para asegurarse de que ha concedido los permisos deseados.

  12. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte Etiquetas para AWS Identity and Access Management recursos en la Guía del usuario de IAM.

  13. Elija Crear política para guardar la nueva política.

Concesión de acceso programático

Los usuarios necesitan acceso programático si quieren interactuar con personas AWS ajenas a. AWS Management Console La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS

Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.

¿Qué usuario necesita acceso programático? Para Mediante

Identidad del personal

(Usuarios administrados en el IAM Identity Center)

 Usa credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs

Siga las instrucciones de la interfaz que desea utilizar:
IAM Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs Siga las instrucciones de Uso de credenciales temporales con AWS recursos de la Guía del usuario de IAM.
IAM

(No recomendado)

Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs

Siga las instrucciones de la interfaz que desea utilizar:

Protección contra atacantes

Para obtener más información sobre cómo protegerte de los atacantes cuando concedes permisos a otros directores de AWS servicio, consulta las condiciones opcionales de las relaciones de confianza en tu puesto. Al añadir determinadas condiciones a las políticas, puede ayudar a prevenir un tipo específico de ataque, conocido como ataque del suplente confuso, que se produce cuando una entidad coacciona a otra con más privilegios para que lleve a cabo una acción, como la suplantación entre servicios. Para obtener información general sobre las condiciones de las políticas, consulte también Especificación de las condiciones de una política.

Para obtener más información acerca del uso de políticas basadas en identidades con AWS Control Tower, consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower. Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.