Administración de identidades y accesos para Amazon EFS - Amazon Elastic File System

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de identidades y accesos para Amazon EFS

Si quiere acceder a Amazon EFS, se necesitan credenciales queAWS puede utilizar para autenticar las solicitudes. Estas credenciales deben tener permisos para obtener acceso aAWS los recursos de, como un sistema de archivos de Amazon EFS, o una instancia Amazon EC2 EFS. En las siguientes secciones, se incluye información detallada acerca del uso de What is IAM y Amazon EFS para ayudar a proteger los recursos mediante el control de quién puede acceder a ellos.

Autenticación

Puede obtener acceso a AWS con los siguientes tipos de identidades:

  • Cuenta de AWSUsuario raíz de la: al registrase enAWS, proporcione una dirección de correo electrónico y una contraseña asociada a suAWS cuenta de. Este es tu usuarioCuenta de AWS root. cuyas credenciales permiten el acceso completo a todos sus recursos de AWS.

    importante

    Por motivos de seguridad, le recomendamos que utilice el usuario raíz solo para crear un administrador, que es un usuario de IAM con permiso total para administrar suCuenta de AWS. A continuación, puede utilizar este usuario administrador para crear otros usuarios y roles de IAM; con permisos limitados. Para obtener más información, consulte Prácticas recomendadas de IAM y Creación de un grupo y usuario administrador en la Guía del usuario de IAM.

  • Usuario de IAM: un usuario de IAM es simplemente una identidad dentro de suCuenta de AWS que tiene permisos personalizados específicos (por ejemplo, permisos para crear un sistema de archivos en Amazon EFS). Puede utilizar un nombre de usuario y una contraseña de IAM para iniciar sesión en páginas web seguras de AWS tales como AWS Management Console, Foros de discusión de AWS o el Centro de AWS Support.

     

    Además de un nombre de usuario y una contraseña, también puede generar claves de acceso para cada usuario. Puede utilizar estas claves al acceder a los servicios de AWS de manera programática, ya sea a través de uno de los varios SDK o mediante la AWS Command Line Interface (CLI). El SDK y las herramientas de CLI utilizan claves de acceso para firmar criptográficamente una solicitud. Si no utiliza las herramientas de AWS, debe firmar usted mismo la solicitud. Amazon EFS es compatible con Signature Version 4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de cómo se autentican las solicitudes, consulte Proceso de firma de Signature Version 4 en la Referencia general de AWS.

     

  • Rol de IAM: un rol de IAM es otra identidad de IAM que puede crear en la cuenta y que tiene permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una persona determinada. Un rol de IAM le permite obtener claves de acceso temporales que se pueden utilizar para tener acceso a los servicios y recursos de AWS. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

     

    • Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede usar identidades de usuario preexistentes de AWS Directory Service, el directorio de usuarios de la empresa o un proveedor de identidad web. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtener más información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía del usuario de IAM.

       

    • Administración entre cuentas: puede utilizar un rol de IAM en su cuenta para concederCuenta de AWS permisos a otra a fin de administrar los recursos de Amazon EFS de su cuenta. Para ver un ejemplo, consulte el Tutorial: Delegue el acceso entreCuenta de AWS nosotros mediante las funciones de IAM en la Guía del usuario de IAM. No puede montar sistemas de archivos Amazon EFS desde distintas VPC o cuentas. Para obtener más información, consulte Gestión de la accesibilidad de red del sistema.

       

    • Acceso a servicios de AWS: puede utilizar un rol de IAM de su cuenta para conceder permisos a un servicio de AWS a fin de acceder a los recursos de su cuenta. Por ejemplo, puede crear una función que permita a Amazon Redshift obtener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargar los datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulte Creación de un rol para delegarle permisos a un servicio de AWS en la Guía del usuario de IAM.

       

    • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM que le permita administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizan solicitudes a laAWS API de. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de EC2. Para asignar un rol de AWS a una instancia de EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia adjuntado a la instancia. Un perfil de instancia contiene la función y permite a los programas que se encuentran en ejecución en la instancia EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de roles para aplicaciones en Amazon EC2 en la Guía del usuario de IAM.

Control de acceso

Aunque disponga de credenciales válidas para autenticar las solicitudes, si no tiene permisos, no podrá crear recursos de Amazon Elastic File System ni obtener acceso a ellos. Por ejemplo, debe tener permisos para crear un sistema de archivos de Amazon EFS.

En las siguientes secciones, se describe cómo administrar los permisos de Amazon EFS. Recomendamos que lea primero la información general.