Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Crear y usar permisos administrados por el cliente en AWS RAM
AWS Resource Access Manager (AWS RAM) proporciona al menos un permiso administrado de AWS para cada tipo de recurso que puede compartir. No obstante, es posible que dichos permisos administrados no proporcionen acceso con privilegio mínimo para su caso de uso compartido. Si uno de los permisos administrados proporcionados por AWS no funciona, puede crear su propio permiso administrado por el cliente.
Los permisos administrados por el cliente son permisos administrados que usted crea y mantiene especificando con precisión qué acciones se pueden realizar en los recursos que se comparten con AWS RAM y en qué condiciones. Por ejemplo, digamos que desea limitar el acceso de lectura a sus grupos del Administrador de direcciones IP (IPAM) de Amazon VPC IP, que le ayudan a administrar sus direcciones IP a gran escala. Puede crear permisos administrados por el cliente para que sus desarrolladores asignen direcciones IP, pero no ver el rango de direcciones IP que asignan otras cuentas de desarrollador. Puede seguir las prácticas recomendadas de privilegio mínimo para conceder únicamente los permisos necesarios para realizar tareas en los recursos compartidos.
Además, puede actualizar o eliminar los permisos administrados por el cliente según sea necesario.
Crear un permiso administrado por el cliente
Los permisos administrados por el cliente son específicos de una Región de AWS. Asegúrese de crear este permiso administrado por el cliente en la región que corresponda.
- Console
-
Para crear un permiso administrado por el cliente
-
Lleve a cabo una de las siguientes acciones:
-
Para ver los detalles del permiso administrado por el cliente, introduzca el nombre de un permiso administrado por el cliente.
-
Seleccione el tipo de recurso al que se aplica el permiso administrado.
-
En Plantilla de política, defina qué operaciones se pueden realizar en este tipo de recurso.
-
Puede seleccionar Importar un permiso administrado para usar las acciones de un permiso administrado existente.
-
Marque o desmarque la información de nivel de acceso en función de sus requisitos en el editor visual.
-
Añada o modifique condiciones con el editor JSON.
-
(Opcional) Para adjuntar etiquetas al permiso administrado, en Etiquetas, introduzca una clave y un valor de etiqueta. Para añadir más etiquetas, seleccione Añadir nueva etiqueta. Repita este paso tantas veces como sea necesario.
-
Una vez que haya terminado, seleccione Crear permiso administrado por el cliente.
- AWS CLI
-
Para crear un permiso administrado por el cliente
-
Ejecute el comando create-permission y especifique un nombre, el tipo de recurso al que se aplica el permiso administrado por el cliente y el texto principal de la plantilla de política.
El siguiente comando de ejemplo crea un permiso administrado para el tipo de recurso imagebuilder:Component
.
$
aws ram create-permission \
--name TestCMP \
--resource-type imagebuilder:Component \
--policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}"
{
"permission": {
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "1",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680033769.401,
"lastUpdatedTime": 1680033769.401
}
}
Crear una nueva versión de un permiso administrado por el cliente
Si cambia el caso de uso del permiso administrado por el cliente, puede crear una nueva versión del permiso administrado. Esta no afectará a los recursos compartidos existentes, solo a los recursos compartidos que cree en el futuro y que usen este permiso administrado por el cliente.
Cada permiso administrado puede tener hasta cinco versiones, pero solo es posible asociar la versión predeterminada.
- Console
-
Para crear una nueva versión de un permiso administrado por el cliente
-
Vaya a la Biblioteca de permisos administrados.
-
Filtre la lista de permisos administrados por Administrados por el cliente, o bien busque el nombre del permiso administrado por el cliente que desea cambiar.
-
En la página de detalles de los permisos administrados, en la sección Versiones de permisos administrados, seleccione Crear versión.
-
En Plantilla de política, puede añadir o eliminar acciones y condiciones con el editor visual o el editor JSON.
También puede elegir Importar permiso administrado para usar una plantilla de política existente.
-
Cuando haya terminado, elija Crear versión en la parte inferior de la página.
- AWS CLI
-
Para crear una nueva versión de un permiso administrado por el cliente
-
Busque el nombre de recurso de Amazon (ARN) del permiso administrado del que desea crear una nueva versión. Para ello, llame al comando list-permissions con el parámetro --permission-type
CUSTOMER_MANAGED
para incluir únicamente los permisos administrados por el cliente.
$
aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
-
Una vez que tenga el ARN, puede llamar a la operación create-permission-version y proporcionar la plantilla de política actualizada.
$
aws ram create-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]}
{
"permission": {
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"status": "ATTACHABLE",
"resourceType": "imagebuilder:Component",
"permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}",
"creationTime": 1680038973.79,
"lastUpdatedTime": 1680038973.79
}
}
El resultado incluye el número de versión de la nueva versión.
Elegir una versión distinta para establecerla como versión predeterminada de un permiso administrado por el cliente
Puede establecer otra versión de un permiso administrado por el cliente como nueva versión predeterminada.
- Console
-
Para establecer una nueva versión predeterminada para un permiso administrado por el cliente
-
Vaya a la Biblioteca de permisos administrados.
-
Filtre la lista de permisos administrados por Administrados por el cliente, o bien busque el nombre del permiso administrado por el cliente que desea cambiar.
-
En la página de detalles del permiso administrado por el cliente, en la sección Versiones del permiso administrado, use la lista desplegable para elegir la versión que desea establecer como nueva versión predeterminada.
-
Elija Establecer como versión predeterminada.
-
Cuando aparezca el cuadro de diálogo, confirme que desea que esta versión sea la predeterminada para todos los nuevos recursos compartidos que utilicen este permiso administrado por el cliente. Si está de acuerdo, elija Establecer como versión predeterminada.
- AWS CLI
-
Para establecer una nueva versión predeterminada para un permiso administrado por el cliente
-
Busque el número de versión que desea establecer como versión predeterminada llamando a list-permission-versions.
El ejemplo siguiente recupera las versiones actuales del permiso administrado especificado.
$
aws ram list-permission-versions \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "1",
"defaultVersion": false,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"featureSet": "STANDARD",
"resourceType": "imagebuilder:Component",
"status": "UNATTACHABLE",
"creationTime": 1680033769.401,
"lastUpdatedTime": 1680035597.345
},
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"featureSet": "STANDARD",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
-
Una vez que tenga el número de la versión que desea establecer como predeterminada, puede llamar a la operación set-default-permission-version.
$
aws ram-cmp set-default-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--version 2
Si se ejecuta correctamente, este comando no devuelve ningún resultado. Puede volver a ejecutar list-permission-versions y comprobar que el campo defaultVersion
de la versión seleccionada esté ahora definido como true
.
Eliminar una versión de un permiso administrado por el cliente
Puede tener hasta cinco versiones de cada permiso administrado por el cliente. Cuando ya no necesite una versión, y esta no se esté utilizando, puede eliminarla. No puede eliminar la versión predeterminada de un permiso administrado por el cliente. Las versiones eliminadas permanecen visibles en la consola durante un máximo de dos horas con el estado eliminado hasta que se eliminan por completo.
- Console
-
Para eliminar una versión de un permiso administrado por el cliente
-
Vaya a la Biblioteca de permisos administrados.
-
Filtre la lista de permisos administrados por Administrados por el cliente, o bien busque el nombre del permiso administrado por el cliente correspondiente a la versión que desea eliminar.
-
Asegúrese de que la versión que desea eliminar no es la versión predeterminada en ese momento.
-
En la sección Versiones de la página, elija la pestaña Recursos compartidos asociados para averiguar si algún recurso compartido usa esta versión.
Si hay recursos compartidos asociados, debe cambiar la versión del permiso administrado por el cliente antes de poder eliminar esta versión.
-
Elija Eliminar versión en la parte derecha de la sección Versión.
-
En el cuadro de diálogo de confirmación, seleccione Eliminar para confirmar que desea eliminar esta versión del permiso administrado por el cliente.
Si no desea eliminar esta versión del permiso administrado por el cliente, elija Cancelar.
- AWS CLI
-
Para eliminar una versión de un permiso administrado por el cliente
-
Llame a la operación list-permission-versions para recuperar los números de las versiones disponibles.
-
Una vez que tenga el número de versión, indíquelo como parámetro en delete-permission-version.
$
aws ram-cmp delete-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--version 1
Si se ejecuta correctamente, este comando no devuelve ningún resultado. Puede volver a ejecutar list-permission-versions y comprobar que la versión ya no aparece en el resultado.
Eliminar un permiso administrado por el cliente
Si un permiso administrado por el cliente ya no es necesario y no está en uso, puede eliminarlo. No es posible eliminar un permiso administrado por el cliente que esté asociado a un recurso compartido. El permiso administrado por el cliente que se ha eliminado desaparece pasadas dos horas. Hasta entonces, permanece visible en la Biblioteca de permisos administrados con estado eliminado.
- Console
-
Para eliminar un permiso administrado por el cliente
-
Vaya a la Biblioteca de permisos administrados.
-
Filtre la lista de permisos administrados por el cliente por Administrados por el cliente, o bien busque el nombre del permiso administrado por el cliente que desea eliminar.
-
Confirme que hay 0 recursos compartidos asociados en la lista de permisos administrados antes de seleccionar el permiso administrado por el cliente.
Si aún hay recursos compartidos asociados al permiso administrado, debe asignar otro permiso administrado a todos los recursos compartidos para poder continuar.
-
En la esquina superior derecha de la página de detalles del permiso administrado por el cliente, elija Eliminar permiso administrado.
-
Cuando aparezca el cuadro de diálogo de confirmación, elija Eliminar para eliminar el permiso administrado.
- AWS CLI
-
Para eliminar un permiso administrado por el cliente
-
Busque el ARN del permiso administrado que desea eliminar. Para hacerlo, llame a list-permissions con el parámetro --permission-type
CUSTOMER_MANAGED
para que se incluyan solo los permisos administrados por el cliente.
$
aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
-
Una vez que disponga del ARN del permiso administrado que desea eliminar, indíquelo como parámetro en delete-permission.
$
aws ram delete-permission \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
"returnValue": true,
"permissionStatus": "DELETING"
}