Control de acceso para la consola de Snow Family y creación de trabajos - Guía para desarrolladores de AWS Snowball Edge

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control de acceso para la consola de Snow Family y creación de trabajos

Como con todas las demásAWSServicios, acceso aAWS Snowballrequiere credenciales queAWSpuede utilizar para autenticar las solicitudes. Esas credenciales deben tener permisos para obtener accesoAWSRecursos de, como bucket de Amazon S3 o un bucket de Amazon S3AWS LambdaFunción de.AWS Snowballse diferencia de dos formas:

  1. Los trabajos en AWS Snowball no tienen nombres de recurso de Amazon (ARN).

  2. El control de acceso a la red y físico de un dispositivo local es responsabilidad del usuario.

En las siguientes secciones, se incluye información detallada sobre cómo puede utilizarAWSIdentity and Access Management (IAM)yAWS Snowballpara ayudar a proteger sus recursos controlando quién puede obtener acceso a ellos en la deNube de AWS, y también recomendaciones de control de acceso local.

Autenticación

Puede obtener acceso a AWS con los siguientes tipos de identidades:

  • Usuario raíz de la Cuenta de AWS

    Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos que no utilice el usuario raíz para las tareas cotidianas. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que este pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte Tareas que requieren credenciales de usuario raíz en la Referencia general de AWS.

  • Usuarios y grupos de IAM

    Un usuario de IAM es una identidad de la Cuenta de AWS que dispone de permisos específicos para una sola persona o aplicación. Un usuario de IAM puede tener credenciales a largo plazo, como un nombre de usuario y una contraseña o un conjunto de claves de acceso. Para obtener información sobre cómo generar claves de acceso, consulte Administración de claves de acceso de los usuarios de IAM en la Guía del usuario de IAM. Al generar claves de acceso para un usuario de IAM, asegúrese de ver y guardar de forma segura el par de claves. No puede recuperar la clave de acceso secreta en el futuro. En su lugar, debe generar un nuevo par de claves de acceso.

    Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesión como grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los grupos facilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener un grupo cuyo nombre fuese IAMAdmins y conceder permisos a dicho grupo para administrar los recursos de IAM.

    Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación, pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienen credenciales permanentes a largo plazo y los roles proporcionan credenciales temporales. Para obtener más información, consulte Cuándo crear un usuario de IAM (en lugar de un rol) en la Guía del usuario de IAM.

  • Rol de IAM

    Un rol de IAM es una identidad de IAM que puede crear en su cuenta y que tiene permisos específicos. Un rol de IAM es similar a un usuario de IAM en que se trata de una identidad de AWS con políticas de permisos que determinan lo que la identidad puede hacer y lo que no en AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol. Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

    • Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede utilizar identidades existentes de AWS Directory Service, del directorio de usuarios de su empresa, de un proveedor de identidades web o del almacén de identidades del Centro de identidades de IAM. Estas identidades se denominan identidades federadas. Para asignar permisos a identidades federadas, puede crear un rol y definir permisos para este. Cuando se autentica una identidad externa, se asocia la identidad al rol y se le conceden los permisos que están definidos en este. Si usa el Centro de identidades de IAM, debe configurar un conjunto de permisos. El Centro de identidades de IAM correlaciona el conjunto de permisos con un rol en IAM para controlar a qué pueden acceder sus identidades después de autenticarse. Para obtener más información acerca de la federación de identidades, consulte Creación de un rol para un proveedor de identidad de terceros en la Guía del usuario de IAM. Para obtener más información, consulte What is IAM Identity Center? (¿Qué es el Centro de identidades de IAM?) en la Guía del usuario de AWS IAM Identity Center (successor to AWS Single Sign-On).

    • Acceso a Servicio de AWS: un rol de servicio es un rol de IAM que un servicio asume para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de roles para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

    • Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM que le permita administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia de EC2 y realizan solicitudes a la AWS CLI o a la API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de EC2. Para asignar un rol de AWS a una instancia de EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia adjuntado a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia de EC2 obtener credenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Introducción a la administración de permisos de acceso para sus recursos en la deNube de AWS

Cada recurso de AWS es propiedad de una Cuenta de AWS y los permisos para crear u obtener acceso a un recurso se rigen por las políticas de los permisos. Los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Algunos servicios (como AWS Lambda) también permiten asociar políticas de permisos con los recursos.

nota

Un administrador de la cuenta (o usuario administrador) es un usuario con privilegios de administrador. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Cuando concede permisos, decide quién debe obtener los permisos, para qué recursos se obtienen permisos y qué acciones específicas desea permitir en esos recursos.

Recursos y operaciones

EnAWS Snowball, el recurso principal es untrabajo.AWS Snowballtambién cuenta con dispositivos como Snowball y elAWS Snowball EdgeSin embargo, solo puede utilizar esos dispositivos en el contexto de un trabajo existente. Los depósitos de Amazon S3 y las funciones de Lambda son recursos de Amazon S3 y Lambda, respectivamente.

Como ya se ha mencionado anteriormente, los trabajos no tienen nombres de recurso de Amazon (ARN) asociados. Sin embargo, los recursos de otros servicios, como los depósitos de Amazon S3, tienen nombres (ARN) únicos asociados a ellos, como se muestra en la tabla que se incluye a continuación.

Tipo de recurso Formato de ARN
Bucket de S3 arn:aws:s3:region:account-id:BucketName/ObjectName

AWS Snowball proporciona un conjunto de operaciones para crear y administrar trabajos. Para ver la lista de las operaciones disponibles, consulte laAWS SnowballReferencia de la API.

Titularidad de los recursos

La Cuenta de AWS es la propietaria de los recursos que se crean en la cuenta, independientemente de quién los haya creado. En concreto, el propietario de los recursos es la Cuenta de AWS de la entidad principal (es decir, la cuenta raíz, un usuario de IAM o un rol de IAM) que autentica la solicitud de creación de recursos. Los siguientes ejemplos ilustran cómo funciona:

  • Si utiliza las credenciales de la cuenta raíz de suCuenta de AWSpara crear un depósito de S3, suCuenta de AWSes el propietario del recurso (enAWS Snowball, el recurso es el trabajo).

  • Si crea un usuario de IAM en suCuenta de AWSY conceda permisos para crear un trabajo para ese usuario, el usuario puede crear un trabajo. Sin embargo, suCuenta de AWS, a la que pertenece el usuario, es la propietaria del recurso de trabajo.

  • Si crea un rol de IAM en suCuenta de AWSCon permisos para crear un trabajo, cualquier persona que pueda asumir el rol podrá crear un trabajo. TuCuenta de AWS, al que pertenece el rol, es el propietario del recurso de trabajo.

Administración del acceso a los recursos en elNube de AWS

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se explica el uso de IAM en el contexto de AWS Snowball. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas del IAM, consulte Referencia de políticas de IAM de AWS en la Guía del usuario de IAM.

Las políticas asociadas a una identidad de IAM se denominan políticas basadas en identidad (políticas de IAM), mientras que las políticas asociadas a un recurso se denominan políticas basadas en recursos. AWS Snowball solo admite políticas basadas en identidad (políticas de IAM).

Políticas basadas en identidad (políticas de IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

  • Adjuntar una política de permisos a un usuario o un grupo de su cuenta: para conceder a un usuario permisos para crear un trabajo, adjunte una política de permisos al usuario o a un grupo al que este pertenezca.

  • Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas): Puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de la Cuenta A puede crear un rol para conceder permisos entre cuentas a otraCuenta de AWS(por ejemplo, la cuenta B) o unAWSservicio de la siguiente manera:

    1. El administrador de la Cuenta A crea un rol de IAM y asocia una política de permisos a dicho rol, que concede permisos sobre los recursos de la Cuenta A.

    2. El administrador de la Cuenta A asocia una política de confianza al rol que identifica la Cuenta B como la entidad principal que puede asumir el rol.

    3. A continuación, el administrador de la Cuenta B puede delegar permisos para asumir el rol a cualquier usuario de la Cuenta B. De este modo, los usuarios de la Cuenta B podrán crear recursos y obtener acceso a ellos en la Cuenta A. La entidad principal de la política de confianza también puede ser la entidad principal de un servicio de AWS si desea conceder permisos para asumir el rol a un servicio de AWS.

    Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

A continuación se ofrece un ejemplo de una política que permite a un usuario realizar las siguientes:CreateJobacción para tuCuenta de AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "snowball:DescribeAddress", "snowball:CreateJob", "snowball:DescribeAddresses", "snowball:CreateAddress" ], "Resource": "*" }, ] }

Para obtener más información acerca del uso de políticas basadas en identidades con AWS Snowball, consulte Uso de políticas basadas en identidad (políticas de IAM) para AWS Snowball. Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Políticas basadas en recursos

Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. AWS Snowball no admite políticas basadas en recursos. 

Especificación de elementos de política: Acciones, efectos y entidades principales

Para cada trabajo (consulteRecursos y operaciones), el servicio define un conjunto de operaciones de API (consulteAWS SnowballReferencia de la API) para crear y gestionar dicho trabajo. Para conceder permisos para estas operaciones de API, AWS Snowball define un conjunto de acciones que usted puede especificar en una política. Por ejemplo, en el caso de un trabajo, se definen las acciones siguientes: CreateJob, CancelJob y DescribeJob. Tenga en cuenta que la realización de una operación de la API puede requerir permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:

  • Recurso: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte Recursos y operaciones.

    nota

    Se admite para Amazon S3, Amazon EC2,AWSLambdaAWS KMS, y muchos otros servicios.

    Snowball no permite especificar un ARN de recurso en la deResourceelemento de una declaración de política de IAM. Para permitir el acceso a Snowball, especifique“Resource”: “*”en su política.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del elemento especificado para Effect, snowball:* permite o deniega los permisos de usuario para realizar todas las operaciones.

    nota

    Esto es compatible con Amazon EC2, Amazon S3 y IAM.

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

    nota

    Esto es compatible con Amazon EC2, Amazon S3 y IAM.

  • Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). AWS Snowball no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM consulte Referencia de la política de IAM de AWS de la Guía del usuario de IAM.

Para ver una tabla con todas las acciones de API de AWS Snowball, consulte AWS SnowballPermisos de API: Referencia de acciones, recursos y condiciones.

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.

Para expresar condiciones, se usan claves de condición predefinidas. No hay claves de condición específicas para AWS Snowball. No obstante, existen claves de condición que se aplican a todo AWS que puede utilizar cuando corresponda. Para ver una lista completa de claves generales de AWS, consulte Claves disponibles para las condiciones en la Guía del usuario de IAM.