Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en identidad para Amazon Location Service
De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar los recursos de Amazon Location. Tampoco pueden realizar tareas mediante la AWS Management Console, AWS Command Line Interface (AWS CLI) o AWS la API. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puede añadir las políticas de IAM a roles y los usuarios pueden asumirlos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Para obtener más información sobre las acciones y los tipos de recursos definidos por Amazon Location, incluido el formato de los ARN para cada uno de los tipos de recursos, consulte Acciones, recursos y claves de condición de Amazon Location Service en la Referencia de autorizaciones de servicio.
Temas
- Prácticas recomendadas sobre las políticas
- Uso de la consola de Amazon Location
- Cómo permitir a los usuarios consultar sus propios permisos
- Uso de los recursos de Amazon Location Service en la política
- Permisos para actualizar las posiciones de los dispositivos
- Política de solo lectura para los recursos del rastreador
- Política de creación de geocercas
- Política de solo lectura para geocercas
- Permisos para renderizar un recurso de mapa
- Permisos para permitir las operaciones de búsqueda
- Política de solo lectura para calculadoras de rutas
- Controle el acceso a los recursos en función de las claves de condición
- Controlar el acceso a los recursos en función de las etiquetas
Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon Location de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de trabajo en la Guía de usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utilice condiciones en las políticas de IAM para restringir aún más el acceso: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
-
Utilice el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Política de validación de Analizador de acceso de IAM en la Guía de usuario de IAM.
-
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para solicitar la MFA cuando se invocan las operaciones de la API, agregue las condiciones de la MFA a sus políticas. Para más información, consulte Configuración del acceso a una API protegido por MFA en la Guía de usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte las Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Uso de la consola de Amazon Location
Para acceder a la consola de Amazon Location Service, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirte enumerar y ver detalles sobre los recursos de Amazon Location de tu cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para asegurarse de que los usuarios y los roles puedan seguir utilizando la consola de Amazon Location, asocie también a las siguiente política administrada a las entidades. Para más información, consulte Adición de permisos a un usuario en la Guía del usuario de IAM:
La siguiente política da acceso a la consola de Amazon Location Service para poder crear, eliminar, enumerar y ver detalles sobre los recursos de Amazon Location en su cuenta de AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GeoPowerUser", "Effect": "Allow", "Action": [ "geo:*" ], "Resource": "*" } ] }
Como alternativa, puede conceder permisos de solo lectura para facilitar el acceso de solo lectura. Con los permisos de solo lectura, aparecerá un mensaje de error si el usuario intenta realizar acciones de escritura, como crear o eliminar recursos. Para ver un ejemplo, consulte Política de solo lectura para los recursos del rastreador
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Uso de los recursos de Amazon Location Service en la política
Amazon Location Service utiliza los siguientes prefijos para los recursos:
Prefijo de recurso de Amazon Location | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Recurso | Prefijo de recurso | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Recursos de mapas | map |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Recursos de sitios | place-index |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Recursos de ruta | route-calculator |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Recursos de rastreo | tracker |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Recursos de la colección de geocerca | geofence-collection |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Utilice la siguiente sintaxis ARN:
arn:Partition:geo:Region:Account:ResourcePrefix/ResourceName
Para obtener más información sobre el formato de los ARN, consulte Nombres de recursos de Amazon (ARN) y espacios de nombres de AWS servicio.
Ejemplos
-
Utilice el siguiente ARN para permitir el acceso a un recurso de mapa específico.
"Resource": "arn:aws:geo:us-west-2:account-id:map/map-resource-name" -
Para especificar el acceso a todos los recursos de
mapque pertenecen a una cuenta específica, utilice el carácter comodín (*):"Resource": "arn:aws:geo:us-west-2:account-id:map/*" -
Algunas acciones de Amazon Location, como las que se utilizan para crear recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).
"Resource": "*"
Para ver una lista de tipos de recursos de Amazon Location y sus ARN, consulte Tipos de recurso definidos por Amazon Location Service en la Referencia de autorizaciones de servicio. Para obtener información acerca de las acciones con las que puede especificar el ARN de cada recurso, consulte Acciones definidas por Amazon Location Service.
Permisos para actualizar las posiciones de los dispositivos
Para actualizar las posiciones de los dispositivos de varios rastreadores, querrá conceder a un usuario acceso a uno o más de sus recursos de seguimiento. También querrá permitir que el usuario actualice un lote de posiciones de dispositivos.
En este ejemplo, además de conceder acceso a los recursos de Tracker1 y Tracker2, la siguiente política otorga permiso para utilizar la acción geo:BatchUpdateDevicePosition contra los recursos de Tracker1 y Tracker2.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:account-id:tracker/Tracker1", "arn:aws:geo:us-west-2:account-id:tracker/Tracker2" ] } ] }
Si quiere limitar al usuario a que solo pueda actualizar las posiciones de los dispositivos de un dispositivo específico, puede agregar una clave de condición para el identificador de ese dispositivo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:account-id:tracker/Tracker1", "arn:aws:geo:us-west-2:account-id:tracker/Tracker2" ], "Condition":{ "ForAllValues:StringLike":{ "geo:DeviceIds":[ "deviceId" ] } } } ] }
Política de solo lectura para los recursos del rastreador
Para crear una política de solo lectura para todos los recursos de rastreadores de tu AWS cuenta, tendrás que conceder el acceso a todos los recursos de rastreadores. También querrá conceder a los usuarios acceso a las acciones que les permitan obtener la posición del dispositivo en varios dispositivos, obtener la posición del dispositivo desde un único dispositivo y obtener el historial de posiciones.
En este ejemplo, la siguiente política concede permisos para las siguientes acciones:
-
geo:BatchGetDevicePositionpara recuperar la posición de varios dispositivos. -
geo:GetDevicePositionpara recuperar la posición de un solo dispositivo. -
geo:GetDevicePositionHistorypara recuperar el historial de posición de un dispositivo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchGetDevicePosition", "geo:GetDevicePosition", "geo:GetDevicePositionHistory" ], "Resource": "arn:aws:geo:us-west-2:account-id:tracker/*" } ] }
Política de creación de geocercas
Para crear una política que permita a un usuario crear geocercas, tendrá que conceder acceso a acciones específicas que permitan a los usuarios crear una o más geocercas en una colección de geocercas.
La siguiente política permite realizar las siguientes acciones en la recopilación:
-
geo:BatchPutGeofencepara crear varias geocercas. -
geo:PutGeofencepara crear una geocerca única.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateGeofences", "Effect": "Allow", "Action": [ "geo:BatchPutGeofence", "geo:PutGeofence" ], "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection" } ] }
Política de solo lectura para geocercas
Para crear una política de solo lectura para las geocercas almacenadas en una colección de geocercas de su cuenta de AWS , tendrá que conceder acceso a las acciones que lean datos de la colección de geocercas que almacena las geocercas.
La siguiente política permite realizar las siguientes acciones en la recopilación:
-
geo:ListGeofencespara enumerar las geocercas de la colección de geocercas especificada. -
geo:GetGeofencepara recuperar una geocerca de la colección de geocercas.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetGeofences", "Effect": "Allow", "Action": [ "geo:ListGeofences", "geo:GetGeofence" ], "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection" } ] }
Permisos para renderizar un recurso de mapa
Para conceder los permisos necesarios para renderizar los mapas, tendrás que conceder acceso a las mosaicos, los sprites, los glifos y el descriptor de estilo del mapa:
-
geo:GetMapTilerecupera las mosaicos del mapa que se utilizan para renderizar de forma selectiva las entidades de un mapa. -
geo:GetMapSpritesrecupera la hoja de sprites en PNG y el documento JSON correspondiente en el que se describen los desfases que contiene. -
geo:GetMapGlyphsrecupera los archivos Glyph utilizados para mostrar el texto. -
geo:GetMapStyleDescriptorrecupera el descriptor de estilo del mapa, que contiene las reglas de renderizado.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GetTiles", "Effect": "Allow", "Action": [ "geo:GetMapTile", "geo:GetMapSprites", "geo:GetMapGlyphs", "geo:GetMapStyleDescriptor" ], "Resource": "arn:aws:geo:us-west-2:account-id:map/Map" } ] }
Permisos para permitir las operaciones de búsqueda
Para crear una política que permita las operaciones de búsqueda, primero tendrás que conceder acceso al recurso de indexación de sitios de tu AWS cuenta. También querrá conceder acceso a las acciones que permitan al usuario buscar con texto mediante geocodificación y buscar con una posición mediante geocodificación inversa.
En este ejemplo, además de conceder acceso a PlaceIndex, la siguiente política también concede permisos para las siguientes acciones:
-
geo:SearchPlaceIndexForPositionpermite buscar lugares o puntos de interés cercanos a una posición determinada. -
geo:SearchPlaceIndexForTextpermite buscar una dirección, un nombre, una ciudad o una región mediante texto de formato libre.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Search", "Effect": "Allow", "Action": [ "geo:SearchPlaceIndexForPosition", "geo:SearchPlaceIndexForText" ], "Resource": "arn:aws:geo:us-west-2:account-id:place-index/PlaceIndex" } ] }
Política de solo lectura para calculadoras de rutas
Puede crear una política de solo lectura para permitir que un usuario acceda a un recurso de calculadora de rutas para calcular una ruta.
En este ejemplo, además de conceder acceso a ExampleCalculator, la siguiente política concede permiso a la siguiente operación:
-
geo:CalculateRoutecalcula una ruta con una posición de salida, una posición de destino y una lista de posiciones de puntos de referencia.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RoutesReadOnly", "Effect": "Allow", "Action": [ "geo:CalculateRoute" ], "Resource": "arn:aws:geo:us-west-2:accountID:route-calculator/ExampleCalculator" } ] }
Controle el acceso a los recursos en función de las claves de condición
Al crear una política de IAM para conceder acceso al uso de geocercas o posiciones de dispositivos, puede utilizar operadores de condición para controlar con mayor precisión a qué geocercas o dispositivos puede acceder un usuario. Para ello, incluye el identificador de la geocerca o el identificador del dispositivo en el elemento Condition de la política.
En el siguiente ejemplo se muestra cómo puede crear una política que permita a un usuario actualizar las posiciones de un dispositivo específico.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "UpdateDevicePositions", "Effect": "Allow", "Action": [ "geo:BatchUpdateDevicePosition" ], "Resource": [ "arn:aws:geo:us-west-2:account-id:tracker/Tracker" ], "Condition":{ "ForAllValues:StringLike":{ "geo:DeviceIds":[ "deviceId" ] } } } ] }
Controlar el acceso a los recursos en función de las etiquetas
Cuando crea una política de IAM para permitir el uso de sus recursos de Amazon Location, puede usar el control de acceso basado en atributos para controlar mejor los recursos que un usuario puede modificar, usar o eliminar. Para ello, incluya información sobre las etiquetas en el elemento Condition de su política para controlar el acceso en función de las etiquetas de sus recursos.
En el siguiente ejemplo de política se muestra cómo puede crear una política que permita a un usuario crear geocercas. Esto otorga el permiso a las siguientes acciones para crear una o más geocercas en una colección de geocercas denominada Colección:
-
geo:BatchPutGeofencepara crear varias geocercas. -
geo:PutGeofencepara crear una geocerca única.
Sin embargo, esta política utiliza el elemento Condition para conceder el permiso solo si la etiqueta Colección, Owner, tiene el valor del nombre de usuario de ese usuario.
-
Por ejemplo, si un usuario llamado
richard-roeintenta ver unacolecciónde ubicaciones de Amazon, lacoleccióndebe estar etiquetada comoOwner=richard-roeoowner=richard-roe. De lo contrario, se deniega el acceso al usuario.nota
La clave de la etiqueta de condición
Ownercoincide con los nombres de las claves de condiciónOwneryownerporque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateGeofencesIfOwner", "Effect": "Allow", "Action": [ "geo:BatchPutGeofence", "geo:PutGeofence" ], "Resource": "arn:aws:geo:us-west-2:account-id:geofence-collection/Collection", "Condition": { "StringEquals": {"geo:ResourceTag/Owner": "${aws:username}"} } } ] }
Para ver un tutorial sobre cómo definir los permisos de acceso a los recursos de AWS en función de las etiquetas, consulte la Guía del usuario de AWS Identity and Access Management .
