Descripción general de la administración de los permisos de acceso a los recursos de IAM Identity Center - AWS IAM Identity Center
IAMRecursos y operaciones del Centro de IdentidadTitularidad de los recursosAdministración del acceso a los recursosEspecificación de elementos de política: acciones, efectos, recursos y entidades principalesEspecificación de las condiciones de una política

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general de la administración de los permisos de acceso a los recursos de IAM Identity Center

Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a los recursos se rigen por políticas de permisos. Para proporcionar acceso, el administrador de una cuenta puede añadir permisos a IAM las identidades (es decir, a los usuarios, los grupos y las funciones). Algunos servicios (por ejemplo, AWS Lambda) también admiten añadir permisos a recursos.

nota

Un administrador de cuentas (o usuario administrador) es un usuario que tiene privilegios de administrador. Para obtener más información, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.

IAMRecursos y operaciones del Centro de Identidad

En IAM Identity Center, los recursos principales son las instancias de aplicación, los perfiles y los conjuntos de permisos.

Titularidad de los recursos

El propietario de un recurso es Cuenta de AWS quien creó un recurso. Es decir, el propietario del recurso es el Cuenta de AWS de la entidad principal (la cuenta, un usuario o un IAM rol) que autentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:

  • Si Usuario raíz de la cuenta de AWS crea un recurso del Centro de IAM Identidad, como una instancia de aplicación o un conjunto de permisos, usted Cuenta de AWS es el propietario de ese recurso.

  • Si crea un usuario en su AWS cuenta y le concede permisos para crear recursos de IAM Identity Center, el usuario podrá crear recursos de IAM Identity Center. Sin embargo, su AWS cuenta, a la que pertenece el usuario, es propietaria de los recursos.

  • Si crea un IAM rol en su AWS cuenta con permisos para crear recursos de IAM Identity Center, cualquier persona que pueda asumir el rol podrá crear recursos de IAM Identity Center. Usted Cuenta de AWS, al que pertenece el rol, es propietario de los recursos del Centro de IAM Identidad.

Administración del acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se describe su uso IAM en el contexto de IAM Identity Center. No proporciona información detallada sobre el IAM servicio. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las AWS IAMpolíticas, consulte la referencia de políticas en la Guía del IAM usuario.

Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas). Las políticas que se asocian a un recurso se denominan "políticas basadas en recursos". IAMIdentity Center solo admite políticas basadas en la identidad (políticas). IAM

Políticas basadas en la identidad (políticas) IAM

Puede añadir permisos a las identidades. IAM Por ejemplo, puede hacer lo siguiente:

  • Adjunte una política de permisos a un usuario o grupo de su cuenta Cuenta de AWS: un administrador de cuentas puede usar una política de permisos que esté asociada a un usuario en particular para conceder permisos a ese usuario para agregar un recurso del Centro de IAM Identidad, como una nueva aplicación.

  • Adjuntar una política de permisos a un rol (conceder permisos para varias cuentas): puede adjuntar una política de permisos basada en la identidad a un IAM rol para conceder permisos entre cuentas.

    Para obtener más información sobre cómo IAM delegar permisos, consulte Gestión del acceso en la Guía del usuario. IAM

La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones que empiezan por List. Estas acciones muestran información sobre un recurso del Centro de IAM Identidad, como una instancia de aplicación o un conjunto de permisos. Tenga en cuenta que el carácter comodín (*) del Resource elemento indica que las acciones están permitidas para todos los recursos de IAM Identity Center que son propiedad de la cuenta. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"sso:List*",
         "Resource":"*"
      }
   ]
}

Para obtener más información sobre el uso de políticas basadas en la IAM identidad con Identity Center, consulte. Ejemplos de políticas basadas en la identidad para IAM Identity Center Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAMusuario.

Políticas basadas en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. IAMIdentity Center no admite políticas basadas en recursos.

Especificación de elementos de política: acciones, efectos, recursos y entidades principales

Para cada recurso de IAM Identity Center (consulteIAMRecursos y operaciones del Centro de Identidad), el servicio define un conjunto de API operaciones. Para conceder permisos para estas API operaciones, IAM Identity Center define un conjunto de acciones que puede especificar en una política. Tenga en cuenta que realizar una API operación puede requerir permisos para más de una acción.

A continuación, se indican los elementos básicos de la política:

  • Recurso: en una política, se utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, el sso:DescribePermissionsPolicies permiso permite al usuario realizar la DescribePermissionsPolicies operación del Centro de IAM Identidad.

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está asociada la política es el principal implícito. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). IAMIdentity Center no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia AWS IAM de políticas en la Guía del IAMusuario.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de acceso para especificar las condiciones que se deben cumplir para que se aplique una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte Condición en la Guía del IAM usuario.

Cómo expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para IAM Identity Center. Sin embargo, hay claves de AWS condición que puede utilizar según convenga. Para obtener una lista completa de AWS las claves, consulte las claves de condición globales disponibles en la Guía del IAM usuario.