Administración de identidades y accesos en AWS Control Tower - AWS Control Tower
AutenticaciónControl de acceso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de identidades y accesos en AWS Control Tower

Para realizar cualquier operación en su landing zone, como el aprovisionamiento de cuentas en Account Factory o la creación de nuevas unidades organizativas (OU) en la consola de AWS Control Tower, ya sea AWS Identity and Access Management (IAM) o AWS IAM Identity Center solicite que autentique que es un usuario aprobado. AWS Por ejemplo, si utiliza la consola de la Torre de Control Tower de AWS, autentica su identidad proporcionando sus AWS credenciales, tal como las ha proporcionado su administrador.

Tras autenticar su identidad, IAM controla su acceso AWS con un conjunto definido de permisos a un conjunto específico de operaciones y recursos. Si es administrador de una cuenta, puede usar IAM para controlar el acceso de otros usuarios de IAM a los recursos asociados a su cuenta.

Temas

Autenticación

Tiene acceso a cualquiera AWS de los siguientes tipos de identidades:

  • AWS usuario raíz de la cuenta: cuando crea una AWS cuenta por primera vez, comienza con una identidad que tiene acceso completo a todos los AWS servicios y recursos de la cuenta. Esta identidad se denomina usuario raíz de la AWS cuenta. Obtiene acceso a esta identidad cuando inicia sesión con la dirección de correo electrónico y la contraseña que usó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En su lugar, siga la práctica recomendada de utilizar el usuario raíz únicamente para crear su primer usuario del Centro de Identidad de IAM (recomendado) o usuario de IAM (no es una práctica recomendada en la mayoría de los casos de uso). A continuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunas tareas de administración de cuentas y servicios. Para obtener más información, consulte ¿Cuándo iniciar sesión como usuario root.

  • Usuario de IAM: un usuario de IAM es una identidad de tu AWS cuenta que tiene permisos específicos y personalizados. Puede usar las credenciales de usuario de IAM para iniciar sesión en AWS páginas web seguras, como la consola de AWS administración, los foros de AWS debate o el AWS Support Center. AWS Las prácticas recomendadas recomiendan crear un usuario del Centro de identidades de IAM en lugar de un usuario de IAM, ya que se corre un mayor riesgo de seguridad cuando se crea un usuario de IAM con credenciales de larga duración.

    Si debe crear un usuario de IAM para un fin determinado, además de las credenciales de inicio de sesión, puede generar claves de acceso para cada usuario de IAM. Puede usar estas teclas cuando llama a AWS los servicios mediante programación, ya sea a través de uno de los diversos SDK o mediante la interfaz de línea de AWS comandos (CLI). El SDK y las herramientas de CLI utilizan claves de acceso para firmar criptográficamente una solicitud. Si no utilizas AWS herramientas, debes firmar la solicitud tú mismo. AWS Control Tower admite la versión 4 de Signature, un protocolo para autenticar las solicitudes de API entrantes. Para obtener más información sobre la autenticación de las solicitudes, consulte el proceso de firma de la versión 4 en la AWS referencia general.

  • Rol de IAM: un rol de IAM es una identidad de IAM que puede crear en su cuenta con permisos específicos. Una función de IAM es similar a la de un usuario de IAM en el sentido de que es una AWS identidad y tiene políticas de permisos que determinan lo que la identidad puede y no puede hacer en ella. AWS No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

    • Acceso de usuario federado: en lugar de crear un usuario de IAM, puede utilizar las identidades existentes del directorio de usuarios de AWS Directory Service su empresa o de un proveedor de identidades web. Se conocen como usuarios federados. AWS asigna un rol a un usuario federado cuando se solicita el acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

    • AWS acceso al servicio: un rol de servicio es un rol de IAM que un servicio asume para realizar acciones en tu cuenta en tu nombre. Al configurar algunos entornos de AWS servicio, debe definir una función que deba asumir el servicio. Esta función de servicio debe incluir todos los permisos necesarios para que el servicio acceda a los AWS recursos que necesita. Los roles de servicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuando se cumplan los requisitos documentados para dicho servicio. Las funciones del servicio ofrecen acceso solo dentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puede crear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear una función que permita a Amazon Redshift obtener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte Creación de un rol para delegar permisos a un AWS servicio en la Guía del usuario de IAM.

    • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM para administrar las credenciales temporales de las aplicaciones que se ejecutan en una instancia de Amazon EC2 y que realizan solicitudes de CLI AWS o API. AWS Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de Amazon EC2. Para asignar un AWS rol a una instancia de Amazon EC2 y ponerlo a disposición de todas sus aplicaciones, debe crear un perfil de instancia adjunto a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se encuentran en ejecución en la instancia de Amazon EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias de Amazon EC2 en la Guía del usuario de IAM.

  • La autenticación de los usuarios del Centro de Identidad de IAM en el portal de usuarios del Centro de Identidad de IAM se controla mediante el directorio que se ha conectado al Centro de identidades de IAM. Sin embargo, la autorización de las AWS cuentas que están disponibles para los usuarios finales desde el portal de usuarios viene determinada por dos factores:

    • A quién se le ha asignado el acceso a esas AWS cuentas en la consola del AWS IAM Identity Center. Para obtener más información, consulte el acceso mediante inicio de sesión único en la Guía del AWS IAM Identity Center usuario.

    • Qué nivel de permisos se han concedido a los usuarios finales en la consola de AWS IAM Identity Center para permitirles el acceso adecuado a esas cuentas. AWS Para obtener más información, consulte los conjuntos de permisos en la Guía del AWS IAM Identity Center usuario.

Control de acceso

Para crear, actualizar, eliminar o incluir en una lista los recursos de AWS Control Tower u otros AWS recursos de su landing zone, necesita permisos para realizar la operación y necesita permisos para acceder a los recursos correspondientes. Además, para realizar la operación mediante programación, necesita claves de acceso válidas.

En las siguientes secciones se describe cómo administrar los permisos de AWS Control Tower:

Temas