Creación y configuración de un usuario de IAM Creación de un grupo de IAM Adición de un usuario de IAM a un grupo de IAM Generación de credenciales para un usuario de IAM Creación de un rol de IAM Crear una política de IAM

Identity and Access Management

AWS Identity and Access Management(IAM) le permite administrar de una forma más segura el acceso a suCuentas de AWSy recursos. Con IAM, puede crear varios usuarios en su principal (nodo raíz)Cuenta de AWS. Esos usuarios pueden tener sus propias credenciales: contraseña, ID de clave de acceso y clave secreta, pero todos los usuarios de IAM comparten un único número de cuenta.

Puede administrar el nivel de acceso a los recursos de cada usuario de IAM adjuntando políticas de IAM al usuario. Por ejemplo, puede adjuntar a un usuario de IAM una política que le dé acceso al servicio de Amazon S3 y a los recursos relacionados de la cuenta de la que usted es titular, pero que no le proporcione acceso a otros servicios o recursos.

Para administrar el acceso de un modo más eficiente, puede crear grupos de IAM, que son conjuntos de usuarios. Al adjuntar una política al grupo, afecta a todos los usuarios que son miembros de ese grupo.

Además de administrar los permisos en el nivel de los usuarios y los grupos, IAM también admite el concepto de roles de IAM. Como en el caso de los usuarios y los grupos, puede adjuntar políticas a los roles de IAM. A continuación, puede asociar el rol de IAM con una instancia de Amazon EC2. Las aplicaciones que se ejecutan en la instancia EC2 pueden obtener acceso aAWSutilizando los permisos proporcionados por el rol de IAM. Para obtener más información acerca del uso de los roles de IAM con el Toolkit, consulte Creación de un rol de IAM. Para obtener más información acerca de IAM, consulte laIAM User Guide.

Creación y configuración de un usuario de IAM

Los usuarios de IAM le permiten conceder a otras personas acceso a suCuenta de AWS. Dado que puede adjuntar políticas a los usuarios de IAM, puede limitar con precisión los recursos a los que puede obtener acceso un usuario de IAM y las operaciones que puede llevar a cabo en esos recursos.

Como práctica recomendada, todos los usuarios que obtienen acceso a unCuenta de AWSdeberían hacerlo como usuarios de IAM, incluso el propietario de la cuenta. De este modo, se garantiza que si las credenciales de uno de los usuarios de IAM se ven comprometidas, se pueden desactivar únicamente esas credenciales. No es necesario desactivar o cambiar las credenciales raíz de la cuenta.

Desde Toolkit for Visual Studio, puede asignar permisos a un usuario de IAM adjuntándole una política de IAM o asignando el usuario a un grupo. Los usuarios de IAM que están asignados a un grupo obtienen sus permisos de las políticas adjuntadas al grupo. Para obtener más información, consulte Creación de un grupo de IAM y Adición de un usuario de IAM a un grupo de IAM.

En el Toolkit for Visual Studio, también puede generarAWScredenciales (ID de clave de acceso y clave secreta) para el usuario de IAM. Para obtener más información, consulte Generación de credenciales para un usuario de IAM.

Toolkit for Visual Studio admite la especificación de las credenciales de usuario de IAM para obtener acceso a los servicios a través deAWSExplorador. Como normalmente los usuarios de IAM no tienen acceso completo a todos los Amazon Web Services, algunas de las funcionalidades deAWSPuede que Explorer no esté disponible. Si usaAWSExplorador para cambiar los recursos cuando la cuenta activa es un usuario de IAM y, a continuación, cambia la cuenta activa a la cuenta raíz, los cambios podrían no estar visibles hasta que actualice la vista enAWSExplorador. Para actualizar la vista, elija el botón de actualización ().

Para obtener información acerca de cómo configurar usuarios de IAM en elAWS Management Console, vaya aTrabajo con usuarios y gruposen la guía del usuario de IAM.

Para crear un usuario de IAM

EnAWSExplorer, expanda laAWS Identity and Access Management, abra el menú contextual (con el botón derecho del ratón) deUsuarios dey luego enCrear usuario.
En el navegadorCrear usuario, escriba un nombre para el usuario de IAM y elijaDE ACUERDO. Este es el IAMnombre descriptivo. Para obtener información acerca de las restricciones de los nombres de los usuarios de IAM, vaya a laIAM User Guide.

Create an IAM user

El nuevo usuario aparecerá como un subnodo enUsuarios debajo elAWS Identity and Access Managementnodo.

Para obtener información acerca de cómo crear una política y asociarla al usuario, consulte Creación de una política de IAM.

Creación de un grupo de IAM

Los grupos proporcionan una forma de aplicar políticas de IAM a un conjunto de usuarios. Para obtener información acerca de cómo administrar los usuarios y los grupos de IAM, vaya aTrabajo con usuarios y gruposen la guía del usuario de IAM.

Para crear un grupo de IAM

EnAWSExplorer, enIdentity and Access Management, abra el menú contextual (con el botón derecho del ratón) deGroupsy eligeCreación de un grupo.
En el navegadorCreación de un grupo, escriba un nombre para el grupo IAM y elijaDE ACUERDO.

Create IAM group

El nuevo grupo de IAM aparecerá bajo elGroupssubnodo deIdentity and Access Management.

Para obtener información acerca del procedimiento para crear una política y adjuntarla al grupo de IAM, consulteCrear una política de IAM.

Adición de un usuario de IAM a un grupo de IAM

Los usuarios de IAM que son miembros de un grupo de IAM obtienen sus permisos de acceso de las políticas adjuntadas al grupo. El objetivo de un grupo de IAM es facilitar la administración de permisos en un conjunto de usuarios de IAM.

Para obtener información acerca de cómo las políticas adjuntadas a un grupo de IAM interactúan con las políticas adjuntadas a los usuarios de IAM que son miembros de ese grupo de IAM, vaya aAdministración de políticas de IAM en la guía del usuario de IAM.

EnAWSExplorer, los usuarios de IAM se añaden a los grupos de IAM en elUsuarios desubnodo, no elGroupssubnodo.

Para agregar un usuario de IAM a un grupo de IAM

EnAWSExplorer, enIdentity and Access Management, abra el menú contextual (con el botón derecho del ratón) deUsuarios dey eligeEditar.

Assign an IAM user to a IAM group
El panel izquierdo de laGroupsmuestra los grupos de IAM disponibles. El panel derecho muestra los grupos de los que el usuario de IAM especificado ya es miembro.

Para añadir el usuario de IAM a un grupo, en el panel izquierdo, elija el grupo de IAM y, a continuación, elija el>Botón.

Para eliminar el usuario de IAM de un grupo, en el panel derecho, elija el grupo de IAM y, a continuación, elija el<Botón.

Para añadir el usuario de IAM a todos los grupos de IAM, elija la>>Botón. Del mismo modo, para eliminar el usuario de IAM de todos los grupos, elija la<<Botón.

Para seleccionar varios grupos, elíjalos en secuencia. No es necesario que mantenga pulsada la tecla Control. Para borrar un grupo de la selección, basta con elegirlo una segunda vez.
Cuando haya terminado de asignar el usuario de IAM a los grupos de IAM, elijaGuardar.

Generación de credenciales para un usuario de IAM

Con Toolkit for Visual Studio, puede generar el ID de clave de acceso y la clave secreta que se utilizan para realizar llamadas a la APIAWS. Estas claves también se pueden especificar para obtener acceso a Amazon Web Services a través del Toolkit. Para obtener más información acerca de la especificación de credenciales para su uso con el Toolkit, consulte creds. Para obtener más información acerca de cómo administrar las credenciales de forma segura, consultePrácticas recomendadas para administrarAWSClaves de acceso.

El Toolkit no se puede utilizar para generar una contraseña para un usuario de IAM.

Para generar credenciales para un usuario de IAM

EnAWSExplorer, abra el menú contextual (clic con el botón derecho) de un usuario de IAM y elijaEditar.
Para generar credenciales, en la pestaña Access Keys (Claves de acceso), elija Create (Crear).

Solo puede generar dos conjuntos de credenciales por cada usuario de IAM. Si ya tiene dos conjuntos de credenciales y necesita crear un conjunto adicional, debe eliminar uno de los conjuntos existentes.

reate credentials for IAM user

Si desea que el Toolkit guarde una copia cifrada de la clave de acceso secreta en la unidad local, seleccioneGuarda la clave de acceso secreta localmente.AWSsolo devuelve la clave de acceso secreta cuando se crea. También puede copiar la clave de acceso secreta en el cuadro de diálogo y guardarla en un lugar seguro.
Seleccione OK (Aceptar).

Después de generar las credenciales, puede verlas en la pestaña Access Keys (Claves de acceso). Si ha seleccionado la opción que hace que el Toolkit guarde localmente la clave secreta, se mostrará aquí.

Create credentials for IAM user

Si ha guardado la clave secreta usted mismo y quiere que el Toolkit también la guarde, en el cuadro Secret Access Key (Clave de acceso secreta), escriba la clave de acceso secreta y, a continuación, seleccione Save the secret access key locally (Guardar localmente la clave de acceso secreta).

Para desactivar las credenciales, elija Make Inactive (Desactivar). (Puede hacerlo si sospecha que las credenciales se han visto comprometidas. Puede volver a activar las credenciales si tiene la certeza de que están seguras).

Creación de un rol de IAM

Toolkit for Visual Studio admite la creación y la configuración de roles de IAM. Como en el caso de los usuarios y los grupos, puede adjuntar políticas a los roles de IAM. A continuación, puede asociar el rol de IAM con una instancia de Amazon EC2. La asociación con la instancia EC2 se realiza a través de un perfil de instancia, que es un contenedor lógico para el rol. Las aplicaciones que se ejecutan en la instancia EC2 obtienen automáticamente el nivel de acceso especificado por la política asociada al rol de IAM. Esto se cumplirá aunque la aplicación no haya especificado otroAWSCredenciales de .

Por ejemplo, puede crear un rol y adjuntarle una política que limite su acceso únicamente a Amazon S3. Después de asociar este rol a una instancia EC2, puede ejecutar una aplicación en la instancia y la aplicación tendrá acceso a Amazon S3, pero no a otros servicios o recursos. La ventaja de este método es que no tendrá que preocuparse por transferir y almacenar de forma segura.AWScredenciales de la instancia EC2.

Para obtener más información acerca de los roles de IAM, consulte.Uso de roles de IAM en la guía del usuario de IAM. Para ver ejemplos de programas que accedenAWSutilizando el rol de IAM asociado a una instancia de Amazon EC2, vaya a laAWSguías para desarrolladores deJava,.NET,PHPy Ruby (Configuración de las credenciales mediante IAM,Creación de un rol de IAM, yUso de políticas de IAM).

Para crear un rol de IAM

EnAWSExplorer, enIdentity and Access Management, abra el menú contextual (con el botón derecho del ratón) deRoles dey luego enCreación de roles.
En el navegadorCreación de un rol, escriba un nombre para el rol de IAM y elijaDE ACUERDO.

Create IAM role

El nuevo rol de IAM aparecerá enRoles deenIdentity and Access Management.

Para obtener información acerca de cómo crear una política y asociarla al rol, consulte Creación de una política de IAM.

Crear una política de IAM

Las políticas son fundamentales para IAM. Las políticas se pueden asociar a IAMentitiescomo usuarios, grupos o roles de. Las políticas especifican el nivel de acceso habilitado para un usuario, un grupo o un rol.

Para crear una política de IAM

EnAWSExplorer, expanda laAWS Identity and Access Managementnodo y, a continuación, expanda el nodo para el tipo de entidad (Groups,Roles de, o bienUsuarios de) a la que adjuntará la política. Por ejemplo, abra un menú contextual para un rol de IAM y elijaEditar.

En elAWSExplorador. Elija el enlace Add Policy (Añadir política).

En el cuadro de diálogo New Policy Name (Nombre de la política nueva), escriba un nombre para la política (por ejemplo, s3-access).

New Policy Name dialog box

En el editor de políticas, añada declaraciones de políticas para especificar el nivel de acceso que se debe asignar al rol (en este ejemplo, se ha asociado winapp-instance-role-2 a la política). En este ejemplo, una política proporciona acceso completo a Amazon S3, pero no a otros recursos.

Specify IAM policy

Para obtener un control de acceso más preciso, puede expandir los subnodos del editor de políticas para permitir o no permitir las acciones asociadas con Amazon Web Services.

Una vez editada la política, elija el enlace Save (Guardar).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de Amazon SQS desdeAWSExplorador

AWS Lambda