Crea un conjunto de permisos. - AWS IAM Identity Center
Creación de un conjunto de permisos que aplique los permisos de privilegio mínimo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crea un conjunto de permisos.

Los conjuntos de permisos se guardan en IAM Identity Center y definen el nivel de acceso que tienen los usuarios y grupos en una cuenta Cuenta de AWS. El primer conjunto de permisos que cree es el conjunto de permisos administrativos. Si completó uno de los Tutoriales de introducción, ya creó su conjunto de permisos administrativos. Utilice este procedimiento para crear conjuntos de permisos, tal y como se describe en el tema Managed Policies de AWS para funciones de trabajo de la Guía del usuario de IAM.

  1. Realice una de estas 2 operaciones para iniciar sesión en la AWS Management Console.

    • Nuevo para AWS (usuario root): inicie sesión como propietario de la cuenta; para ello, seleccione Root user e introduzca su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

    • Si ya lo utilizas AWS (credenciales de IAM): inicia sesión con tus credenciales de IAM con permisos administrativos.

  2. Abra la consola del IAM Identity Center.

  3. En el panel de navegación del IAM Identity Center, en Permisos multicuenta, seleccione Conjuntos de permisos.

  4. Elija Crear conjunto de permisos.

    1. En la página Seleccione el tipo de conjunto de permisos, en la sección Tipo de conjunto de permisos, elija Conjunto de permisos predefinido.

    2. En la sección Política para el conjunto de permisos predefinido, seleccione una de las siguientes opciones:

      • AdministratorAccess

      • Facturación

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. En la página Especificar detalles del conjunto de permisos, mantenga la configuración predeterminada y seleccione Siguiente. La configuración predeterminada limita la sesión a una hora.

  6. En la página Revisar y crear confirme lo siguiente:

    1. Para el paso 1: seleccione el tipo de conjunto de permisos, muestra el tipo de conjunto de permisos que eligió.

    2. En el paso 2: Definir los detalles del conjunto de permisos, muestra el nombre del conjunto de permisos que ha elegido.

    3. Seleccione Crear.

Creación de un conjunto de permisos que aplique los permisos de privilegio mínimo

Para seguir la práctica recomendada de aplicar permisos con privilegios mínimos, después de crear un conjunto de permisos administrativos, cree un conjunto de permisos más restrictivo y asígnelo a uno o más usuarios. Los conjuntos de permisos creados en el procedimiento anterior proporcionan un punto de partida para evaluar la cantidad de acceso a los recursos que necesitan los usuarios. Para cambiar a permisos de privilegios mínimos, puede ejecutar el Analizador de acceso de IAM para supervisar las entidades principales con las políticas administradas por AWS . Después de saber qué permisos utilizan, puede escribir una política personalizada o generar una política con solo los permisos necesarios para su equipo.

Con IAM Identity Center, puede asignar varios conjuntos de permisos al mismo usuario. A su usuario administrativo también se le deben asignar conjuntos de permisos adicionales y más restrictivos. De esta forma, podrán acceder a usted únicamente Cuenta de AWS con los permisos necesarios, en lugar de utilizar siempre sus permisos administrativos.

Por ejemplo, si es desarrollador, después de crear su usuario administrativo en IAM Identity Center, puede crear un nuevo conjunto de permisos que conceda permisos de PowerUserAccess y, a continuación, asignarse ese conjunto de permisos a usted. A diferencia del conjunto de permisos administrativos, que utiliza AdministratorAccess permisos, el conjunto de PowerUserAccess permisos no permite gestionar los usuarios y grupos de IAM. Al iniciar sesión en el AWS portal de acceso para acceder a su AWS cuenta, puede elegir PowerUserAccess no AdministratorAccess realizar las tareas de desarrollo en la cuenta.

Tenga en cuenta las siguientes consideraciones:

  • Para empezar rápidamente a crear un conjunto de permisos más restrictivo, utilice un conjunto de permisos predefinido en lugar de uno personalizado.

    Con un conjunto de permisos predefinido, que utiliza permisos predefinidos, puede elegir una única política AWS gestionada de una lista de políticas disponibles. Cada política otorga un nivel específico de acceso a AWS los servicios y recursos o permisos para una función laboral común. Para obtener información sobre cada una de estas políticas, consulte Políticas administradas de AWS para funciones de trabajo.

  • Puede configurar la duración de la sesión de un conjunto de permisos para controlar el tiempo que un usuario permanece registrado en una Cuenta de AWS.

    Cuando los usuarios se federan Cuenta de AWS y utilizan la consola de AWS gestión o la interfaz de línea de AWS comandos (AWS CLI), IAM Identity Center utiliza la configuración de duración de la sesión del conjunto de permisos para controlar la duración de la sesión. De forma predeterminada, el valor de Duración de la sesión, que determina el tiempo que un usuario puede iniciar sesión Cuenta de AWS antes de AWS cerrar la sesión del usuario, se establece en una hora. Puede especificar un valor máximo de 12 horas. Para obtener más información, consulte Definir la duración de la sesión.

  • También puede configurar la duración de la sesión del portal de AWS acceso para controlar el tiempo que un usuario de la fuerza laboral permanece conectado al portal.

    De forma predeterminada, el valor de Duración máxima de la sesión, que determina el tiempo que un usuario de Workforce puede iniciar sesión en el portal de AWS acceso antes de tener que volver a autenticarse, es de ocho horas. Puede especificar un valor máximo de 90 días. Para obtener más información, consulte Configure la duración de la sesión del portal de AWS acceso y de las aplicaciones integradas del IAM Identity Center.

  • Cuando inicie sesión en el portal de AWS acceso, elija el rol que proporciona los permisos con privilegios mínimos.

    Cada conjunto de permisos que cree y asigne a su usuario aparece como un rol disponible en el AWS portal de acceso. Cuando inicie sesión en el portal en calidad de ese usuario, elija el rol que corresponda al conjunto de permisos más restrictivo que pueda usar para realizar tareas en la cuenta, en lugar de AdministratorAccess.

  • Puede agregar otros usuarios a IAM Identity Center y asignar conjuntos de permisos nuevos o existentes a esos usuarios.

    Para obtener información, consulte Asigne el Cuenta de AWS acceso a los grupos.