Información general sobre la administración de permisos de acceso a Storage Gateway - AWSStorage Gateway
Recursos y operaciones de Storage GatewayTitularidad de los recursosAdministración del acceso a los recursosEspecificación de elementos de la política: Acciones, efectos, recursos y entidades principalesEspecificación de las condiciones de una política

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general sobre la administración de permisos de acceso a Storage Gateway

CadaAWSrecurso de es propiedad de una cuenta de Amazon Web Services y los permisos para crear un recurso o tener acceso a él se rigen por las políticas de permisos. Los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios (como AWS Lambda) también permiten asociar políticas de permisos con los recursos.

nota

Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

Recursos y operaciones de Storage Gateway

En Storage Gateway, el recurso principal esGateway de. Storage Gateway también admite los siguientes tipos de recursos adicionales: recurso compartido de archivos, volumen, cinta virtual, destino de iSCSI and dispositivo de biblioteca de cintas virtuales (VTL). Se conocen como subrecursos y no existen a menos que estén asociados a una gateway.

Estos recursos y subrecursos tienen nombres de recursos de Amazon (ARN) únicos asociados a ellos, tal y como se muestra en la siguiente tabla:

Tipo de recurso Formato de ARN

ARN de gateway

arn:aws:storagegateway:region:account-id:gateway/gateway-id
ARN compartido de archivos

arn:aws:storagegateway:region:account-id:share/share-id
nota

Los ID de recursos de Storage Gateway se indican en mayúscula. Cuando estos ID de recursos se utilizan con la API de Amazon EC2, Amazon EC2 espera que los ID de recursos estén en minúsculas. Debe cambiar los ID de recursos a minúsculas para utilizarlos con la API de EC2. Por ejemplo, en Storage Gateway el ID para un volumen podría ser vol-1122AABB. Cuando utilice este ID con la API de EC2, debe cambiarlo a vol-1122aabb. De lo contrario, la API de EC2 podría no comportarse según lo previsto.

Los ARN de las gateways activados antes del 2 de septiembre de 2015 contienen el nombre de la gateway, en lugar de su ID Para obtener el ARN de la gateway, utilice la operación DescribeGatewayInformation de la API.

Para conceder permisos para operaciones de API específicas, como, por ejemplo, crear una cinta, Storage Gateway proporciona un conjunto de acciones de API que le permiten crear y administrar estos recursos y subresources. Para ver la lista de las acciones de la API, consulteActionsen laAWS Storage GatewayReferencia de la API.

Para conceder permisos para operaciones de API específicas, como, por ejemplo, crear una cinta, Storage Gateway define un conjunto de acciones que puede especificar en una política de permisos. Una operación de la API puede requerir permisos para más de una acción. Para ver una tabla con todas las acciones de API de Storage Gateway y los recursos a los que se aplican, consultePermisos API de Storage Gateway Referencia de acciones, recursos y condiciones.

Titularidad de los recursos

UNApropietario del recursoes la cuenta de Amazon Web Services que creó el recurso. Es decir, el propietario del recurso es la cuenta de Amazon Web Services delentidad principal(cuenta raíz, usuario de IAM o rol de IAM) que autentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:

  • Si usa las credenciales de cuenta raíz de su cuenta de Amazon Web Services para activar una gateway, su cuenta de Amazon Web Services es la propietaria del recurso (en Storage Gateway, el recurso es la gateway).

  • Si crea un usuario de IAM en su cuenta de Amazon Web Services y concede permisos aActivateGatewayacción para ese usuario, el usuario puede activar una gateway. Sin embargo, la cuenta de Amazon Web Services, a la que pertenece el usuario, es la propietaria del recurso de gateway.

  • Si crea un rol de IAM en su cuenta de Amazon Web Services con permisos para activar una gateway, cualquier persona que pueda asumir el rol podrá activar una gateway. La cuenta de Amazon Web Services, a la que pertenece el rol, es la propietaria del recurso de gateway.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se explica cómo se utiliza IAM en el contexto de Storage Gateway. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulteQué es IAMen laIAM User Guide.Para obtener más información acerca de la sintaxis y las descripciones de las políticas del IAM, consulte Referencia de políticas de IAM de AWS en la Guía del usuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM) y las políticas asociadas a un recurso se denominan políticas basadas en recursos. Storage Gateway solo admite políticas basadas en identidad (políticas de IAM).

Políticas basadas en identidad (políticas de IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

  • Asociar una política de permisos a un usuario o grupo de su cuenta: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos para crear un recurso de Storage Gateway, como una gateway, un volumen o una cinta.

  • Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas): Puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de la Cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta de Amazon Web Services (por ejemplo, a la Cuenta B) o aAWSservicio de la siguiente manera:

    1. El administrador de la Cuenta A crea un rol de IAM y asocia una política de permisos a dicho rol, que concede permisos sobre los recursos de la Cuenta A.

    2. El administrador de la Cuenta A asocia una política de confianza al rol que identifica la Cuenta B como la entidad principal que puede asumir el rol.

    3. A continuación, el administrador de la Cuenta B puede delegar permisos para asumir el rol a cualquier usuario de la Cuenta B. De este modo, los usuarios de la Cuenta B podrán crear recursos y obtener acceso a ellos en la Cuenta A. La entidad principal de la política de confianza también puede ser la entidad principal de un servicio de AWS si desea conceder permisos para asumir el rol a un servicio de AWS.

    Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

A continuación, se muestra un ejemplo de política que concede permisos para todas las acciones List* en todos los recursos. Esta acción es de solo lectura. Por lo tanto, la política no permite al usuario cambiar el estado de los recursos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllListActionsOnAllResources",
            "Effect": "Allow",
            "Action": [
                "storagegateway:List*"
            ],
            "Resource": "*"
        }
    ]
}

Para obtener más información acerca del uso de políticas basadas en identidad con Storage Gateway, consulteUsar políticas basadas en identidad (políticas de IAM) para Storage Gateway. Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas con base en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. Storage Gateway no admite políticas basadas en recursos. 

Especificación de elementos de la política: Acciones, efectos, recursos y entidades principales

Para cada recurso de Storage Gateway (consultePermisos API de Storage Gateway Referencia de acciones, recursos y condiciones), el servicio define un conjunto de operaciones de API (consulteActions). Para conceder permisos para estas operaciones de API, Storage Gateway define un conjunto de acciones que puede especificar en una política. Por ejemplo, para el recurso gateway de Storage Gateway, se definen las siguientes acciones:ActivateGateway,DeleteGateway, yDescribeGatewayInformation. Tenga en cuenta que la realización de una operación de la API puede requerir permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:

  • Recurso: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para los recursos de Storage Gateway, use siempre el carácter comodín(*)en políticas de IAM. Para obtener más información, consulte Recursos y operaciones de Storage Gateway.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función de la especificaciónEffect, elstoragegateway:ActivateGatewaypermite o deniega los permisos de usuario para realizar Storage GatewayActivateGateway.

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). Storage Gateway no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM consulte Referencia de la política de IAM de AWS de la Guía del usuario de IAM.

Para ver una tabla con todas las acciones de API de Storage Gateway, consultePermisos API de Storage Gateway Referencia de acciones, recursos y condiciones.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en las que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.

Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para Storage Gateway. No obstante, existen claves de condición que se aplican a todo AWS que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles en la Guía del usuario de IAM.