Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración de identidades y accesos para AWS Global Accelerator
AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos de AWS, incluidos los recursos de AWS Global Accelerator. Los administradores usan IAM para controlar quién esautenticado(iniciado sesión) yAutorizado(tiene permisos) para utilizar recursos de Global Accelerator. La IAM es una característica incluida en la cuenta de AWS sin cargo adicional.
importante
Si no está familiarizado con IAM, revise la información introductoria de esta página y, a continuación, consulteIntroducción a IAM. Si lo desea, puede obtener más información sobre la autenticación y el control de acceso en¿Qué es la autenticación?,¿Qué es el control de acceso?, y¿Qué son las políticas?.
Temas
Conceptos y términos
AutenticaciónPara iniciar sesión en AWS, debe utilizar una de las siguientes opciones: credenciales de usuario raíz (no se recomienda), credenciales de usuario de IAM o credenciales temporales mediante roles de IAM. Para obtener más información acerca de estas entidades, consulte ¿Qué es la autenticación?.
Control de acceso: los administradores de AWS utilizan políticas para controlar el acceso a los recursos de AWS, tales como aceleradores de Acelerador global. Para obtener más información, consulte ¿Qué es el control de acceso? y ¿Qué son las políticas?.
importante
Todos los recursos de una cuenta son propiedad de esta última, independientemente de quién los haya creado. Debe tener acceso para crear un recurso. Sin embargo, el mero hecho de haber creado un recurso no significa que automáticamente vaya a tener acceso completo a dicho recurso. Un administrador debe conceder permisos de forma explícita para cada acción que se desee realizar. Ese administrador también puede revocar los permisos en cualquier momento.
Para ayudarle a comprender los conceptos básicos del funcionamiento de IAM, revise los siguientes términos:
- Recursos
-
Los servicios de AWS, como el acelerador global e IAM, suelen incluir objetos denominados recursos. En la mayoría de los casos, puede crear, administrar y eliminar estos recursos del servicio. Los recursos de IAM incluyen usuarios, grupos, roles y políticas:
- Usuarios
-
Un usuario de IAM representa a la persona o aplicación que utiliza sus credenciales para interactuar con AWS. Un usuario consta de un nombre, una contraseña para iniciar sesión en la consola de administración de AWS y un máximo de dos claves de acceso que se pueden utilizar con la CLI o la API de AWS.
- Grupos
-
Un grupo de IAM es un conjunto de usuarios de IAM. Los administradores pueden usar los grupos para especificar permisos para los usuarios que lo componen. Esto facilita el proceso de administrar los permisos de varios usuarios.
- Roles
-
Un rol de IAM no tiene asociadas unas credenciales a largo plazo (contraseña o claves de acceso). Cualquier persona que la necesite y tenga permiso para ello puede asumir un rol. Un usuario de IAM puede asumir una función para disponer temporalmente de diferentes permisos para una tarea específica. Los usuarios federados puede asumir un rol mediante un proveedor de identidad externo mapeado a ese rol. Algunos servicios de AWS pueden asumir unRol de servicio dePara obtener acceso a los recursos de AWS en su nombre.
- Políticas
-
Las políticas son documentos JSON que definen los permisos para el objeto al que están asociadas. AWS admitePolíticas de basadas en identidadesque asocie a identidades (usuarios, grupos o roles). Algunos servicios de AWS le permiten adjuntarPolíticas de basadas en recursosPara controlar lo que una entidad principal (persona o aplicación) puede hacer con ese recurso. Global Accelerator no admite políticas basadas en recursos de.
- Identidades
-
Las identidades son recursos de IAM para los cuales se pueden definir permisos. Estos incluyen usuarios, grupos y roles.
- Entidades
-
Las entidades son recursos de IAM que se utilizan para la autenticación. Estos incluyen usuarios y roles.
- Entidades principales
-
En AWS, una entidad principal es una persona o aplicación que utiliza una entidad para iniciar sesión en y realizar solicitudes a AWS. Como entidad principal, puede utilizar la consola de administración de AWS o la CLI o la API de AWS para llevar a cabo una operación (por ejemplo, eliminar un acelerador). Esto crea una solicitud para esa operación. La solicitud especifica la acción, el recurso, la entidad principal, la cuenta de la entidad principal y la información adicional deseada sobre la solicitud. Toda esta información proporciona a AWS concontextPara su solicitud. AWS comprueba todas las políticas que se aplican al contexto de una solicitud. AWS autoriza la solicitud únicamente si cada parte de la solicitud está permitida por las políticas.
Para ver un diagrama del proceso de autenticación y control de acceso, consulteEntender cómo funciona IAMen laGuía del usuario de IAM. Para obtener información detallada acerca de cómo AWS determina si una solicitud está permitida, consulteLógica de evaluación de políticasen laGuía del usuario de IAM.
Permisos necesarios para el acceso a la consola, la administración de autenticación y el control de acceso
Para utilizar Global Accelerator o para administrar la autorización y el control de acceso para sí mismo o para otros, debe contar con los permisos adecuados.
Permisos necesarios para crear un acelerador Global Accelerator
Para crear un AWS Global Accelerator, los usuarios deben tener permiso para crear roles vinculados a servicios asociados a Global Accelerator.
Para asegurarse de que los usuarios tienen los permisos correctos para crear aceleradores en Global Accelerator, adjunte una directiva al usuario como la siguiente.
nota
Si crea una política de permisos basados en identidad que sea más restrictiva, los usuarios con dicha política no podrán crear un acelerador.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "globalaccelerator.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*" }
Permisos necesarios para usar la consola Global Accelerator
Para obtener acceso a la consola de AWS Global Accelerator, debe tener un conjunto mínimo de permisos que le permita mostrar y ver detalles sobre los recursos de Global Accelerator de su cuenta de AWS. Si crea una política de permisos basados en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades que tengan esa política.
Para asegurarse de que esas entidades puedan seguir usando la consola de Global Accelerator o las acciones de la API, asocie también una de las políticas administradas de AWS siguientes al usuario, tal y como se describe enCreación de políticas en la pestaña JSON:
GlobalAcceleratorReadOnlyAccess GlobalAcceleratorFullAccess
Adjuntar la primera política,GlobalAcceleratorReadOnlyAccess
, si los usuarios solo necesitan ver información en la consola o realizar llamadas a la CLI de AWS o a la API que utilizanList*
orDescribe*
Operaciones.
Adjuntar la segunda política,GlobalAcceleratorFullAccess
, a los usuarios que necesitan crear o actualizar los aceleradores. La política de acceso completa incluyeFULLpermisos para Global Accelerator, así comodescribepermisos para Amazon EC2 y Elastic Load Balancing.
nota
Si crea una política de permisos basada en identidades que no incluya los permisos necesarios para Amazon EC2 y Elastic Load Balancing, los usuarios con esa política no podrán agregar recursos de Amazon EC2 y Elastic Load Balancing a los aceleradores.
La siguiente es la política de acceso completo:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSecurityGroup", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:DescribeLoadBalancers", "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }
Permisos necesarios para la administración de autenticación
Para administrar sus propias credenciales, tales como su contraseña, claves de acceso y dispositivos Multi-Factor Authentication (MFA), el administrador debe concederle los permisos necesarios. Para ver la política que incluye estos permisos, consulte Permitir a los usuarios de administrar ellos mismos sus credenciales.
Como administrador de AWS, necesita acceso completo a IAM para poder crear y administrar usuarios, grupos, roles y políticas de IAM. Debe utilizar la opciónAdministratorAccess
aviso
Solo un usuario administrador debe tener acceso completo a AWS. Cualquier persona que tenga esta política dispondrá de permiso para administrar totalmente la autenticación y el control de acceso, además de para modificar todos los recursos de AWS. Para obtener más información sobre cómo crear este usuario, consulte Cree su usuario administrador de IAM.
Permisos necesarios para el control de acceso
Si el administrador le ha proporcionado credenciales de usuario de IAM, habrán asociado políticas a ese usuario de IAM para controlar a qué recursos puede tener acceso. Para ver las políticas asociadas a su identidad de usuario en AWS Management Console, debe tener los permisos siguientes:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "ListUsersViewGroupsAndPolicies", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Si necesita permisos adicionales, pida a su administrador que actualice las políticas de tal forma que pueda tener acceso a las acciones que necesita.
Comprender cómo funciona Global Accelerator con IAM
Los servicios pueden funcionar con IAM de varias maneras:
- Actions
-
Global Accelerator admite el uso de acciones en una política. Esto permite que un administrador controle si una entidad puede completar una operación de Global Accelerator. Por ejemplo, para permitir que una entidad llame al método
GetPolicy
Para ver una política de la API de AWS, un administrador debe asociar una política que permita que laiam:GetPolicy
action.En la siguiente política de ejemplo se permite a un usuario realizar la instrucción de
CreateAccelerator
para crear mediante programación un acelerador para su cuenta de AWS:{ "Version": "2018-08-08", "Statement": [ { "Effect": "Allow", "Action": [ "globalaccelerator:CreateAccelerator" ], "Resource":"*" } ] }
- Permisos de nivel de recursos
-
Global Accelerator admite permisos de nivel de recurso. Los permisos de nivel de recursos permiten usar ARN para especificar recursos individuales en la política.
- Políticas basadas en recursos
-
Global Accelerator no admite políticas basadas en recursos de. Con las políticas basadas en recursos, puede asociar una política a un recurso dentro del servicio. Las políticas basadas en recursos incluyen un
Principal
Para especificar qué identidades de IAM pueden obtener acceso a dicho recurso. - Autorización basada en etiquetas
-
Global Accelerator admite etiquetas basadas en autorización. Esta característica le permite utilizar etiquetas de recursos en la condición de una política.
- Credenciales temporales
-
Global Accelerator admite las credenciales temporales. Con credenciales temporales, puede iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS STS como
AssumeRole
orGetFederationToken
. - Roles vinculados a servicios
-
Global Accelerator admite roles vinculados a servicios. Esta característica permite que un servicio asuma un rol vinculado a un servicio en nombre de usted. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
- Roles de servicio
-
Global Accelerator no es compatible con roles de servicio. Esta característica permite que un servicio asuma un rol de servicio en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Solución de problemas de autenticación y control de acceso
Utilice la información siguiente para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con IAM.
Temas
No tengo autorización para realizar una acción en Global Accelerator
Si la consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción, debe ponerse en contacto con el administrador que le haya proporcionado su nombre de usuario y contraseña.
El ejemplo siguiente se produce cuando un usuario de IAM denominadomy-user-name
intenta usar la consola de para realizar laglobalaccelerator:CreateAccelerator
pero no tiene permisos:
User: arn:aws:iam::
123456789012
:user/my-user-name
is not authorized to perform:aws-globalaccelerator:CreateAccelerator
on resource:my-example-accelerator
En este caso, pida al administrador que actualice sus políticas de forma que pueda obtener acceso a lamy-example-accelerator
Uso de la herramientaaws-globalaccelerator:CreateAccelerator
action.
Soy administrador y deseo permitir que otros obtengan acceso a Global Accelerator
Para permitir que otros obtengan acceso a Global Accelerator, debe crear una entidad de IAM (usuario o rol) para la persona o aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidad para obtener acceso a AWS. A continuación, debe asociar una política a la entidad que les conceda los permisos correctos en Global Accelerator.
Para comenzar trabajar enseguida, consulte Introducción a IAM.
Quiero entender IAM sin convertirme en un experto
Para obtener más información sobre los términos, conceptos y procedimientos de IAM, consulte los siguientes temas:
Políticas basadas en etiquetas
Al diseñar políticas de IAM, es posible establecer permisos pormenorizados mediante la concesión de acceso a recursos específicos. A medida que crezca la cantidad de recursos que administra, esta tarea será más complicada. El etiquetado de aceleradores y uso de etiquetas en las condiciones de declaración de política pueden facilitar esta tarea. Puede conceder acceso de forma masiva a cualquier acelerador con una determinada etiqueta. A continuación, aplique repetidamente esta etiqueta a los aceleradores pertinentes, al crear el acelerador o al actualizar el acelerador más tarde.
nota
El uso de etiquetas en las condiciones es una manera de controlar el acceso a los recursos y las solicitudes. Para obtener información acerca del etiquetado en Global Accelerator, consulteEtiquetado en AWS Global Accelerator.
Las etiquetas se pueden asociar a un recurso o pasarse dentro de la solicitud a los servicios que admiten etiquetado. En Global Accelerator, sólo los aceleradores pueden incluir etiquetas. Al crear una política de IAM, puede utilizar las claves de condición de etiqueta para controlar:
Qué usuarios pueden realizar acciones en un acelerador, basándose en las etiquetas que ya tiene.
Las etiquetas que se pueden pasar en la solicitud de una acción.
Si claves de etiqueta específicas se pueden utilizar en una solicitud.
Para obtener la sintaxis y semántica completas de claves de condición de etiquetas, consulteControlar el acceso mediante etiquetas de IAMen laGuía del usuario de IAM.
Por ejemplo, el Acelerador GlobalGlobalAcceleratorFullAccess
La política de usuario administrada proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Acelerador global en cualquier recurso. La siguiente política deniega permiso a usuarios no autorizados para realizar cualquier acción de Global Accelerator en cualquierProducciónAceleradores de El administrador de un cliente debe asociar esta política de IAM a los usuarios de IAM no autorizados, además de la política de usuario administrada.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:RequestTag/stage":"prod" } } }, { "Effect":"Deny", "Action":"*", "Resource":"*", "Condition":{ "ForAnyValue:StringEquals":{ "aws:ResourceTag/stage":"prod" } } } ] }