Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en identidades para Amazon Translate
De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar los recursos de Amazon Translate. Tampoco pueden realizar tareas mediante el AWS Management Console, AWS CLI, o AWS API. IAMEl administrador debe crear IAM políticas que concedan permiso para realizar API operaciones específicas en los recursos específicos que necesita. El administrador debe asociar esas políticas a los usuarios o roles de que necesiten esos permisos.
Para obtener información sobre cómo crear una política IAM basada en la identidad mediante los siguientes documentos de JSON política de ejemplo, consulte Creación de políticas en la JSON pestaña de la Guía del IAMusuario.
Temas
Prácticas recomendadas de políticas basadas en identidad
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon Translate de la cuenta. Estas acciones pueden suponer costes para su Cuenta de AWS. Al crear o editar políticas basadas en la identidad, siga estas directrices y recomendaciones:
-
Comience con AWS políticas gestionadas y avance hacia los permisos con los privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice la AWS políticas gestionadas que conceden permisos para muchos casos de uso habituales. Están disponibles en su Cuenta de AWS. Le recomendamos que reduzca aún más los permisos definiendo AWS políticas gestionadas por el cliente que sean específicas para sus casos de uso. Para obtener más información, consulte AWS políticas gestionadas o AWS políticas gestionadas para las funciones laborales en la Guía IAM del usuario.
-
Aplique permisos con privilegios mínimos: cuando establezca permisos con IAM políticas, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Para obtener más información sobre cómo IAM aplicar permisos, consulte Políticas y permisos IAM en la IAM Guía del usuario.
-
Utilice las condiciones en IAM las políticas para restringir aún más el acceso: puede añadir una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse medianteSSL. También puede utilizar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de un procedimiento específico Servicio de AWS, como, por ejemplo, AWS CloudFormation. Para obtener más información, consulte los elementos IAM JSON de la política: Condición en la Guía del IAM usuario.
-
Utilice IAM Access Analyzer para validar sus IAM políticas y garantizar permisos seguros y funcionales: IAM Access Analyzer valida las políticas nuevas y existentes para que se ajusten al lenguaje de las políticas (JSON) y IAM a las IAM mejores prácticas. IAMAccess Analyzer proporciona más de 100 comprobaciones de políticas y recomendaciones prácticas para ayudarle a crear políticas seguras y funcionales. Para obtener más información, consulte la validación de políticas de IAM Access Analyzer en la Guía del IAM usuario.
-
Requerir autenticación multifactorial (MFA): si tiene un escenario que requiere IAM usuarios o un usuario raíz en su Cuenta de AWS, actívala MFA para mayor seguridad. Para solicitarlo MFA cuando se cancelen API las operaciones, añada MFA condiciones a sus políticas. Para obtener más información, consulte Configuración del API acceso MFA protegido en la Guía del IAM usuario.
Para obtener más información sobre las prácticas recomendadasIAM, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.
Permitir el acceso a la consola de Amazon Translate
Para acceder a la consola de Amazon Translate, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de Amazon Translate en su AWS account. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios, grupos o roles) que tengan esa política.
Para obtener los permisos de la consola de Amazon Translate, puede adjuntar el TranslateFullAccess AWS la política gestionada a las entidades. Para obtener más información, consulte AWS políticas gestionadas para Amazon Translate.
También debe tener permisos para las acciones mostradas en la política siguiente. Estos permisos están incluidos en la política TranslateFullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRole", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "*" } ] }
No es necesario conceder permisos mínimos de consola a los usuarios que realizan llamadas únicamente al AWS CLI o el AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la API operación que están intentando realizar. Para obtener más información, consulte Añadir permisos a un usuario en la Guía del IAM usuario.
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo se muestra cómo se puede crear una política que permita a IAM los usuarios ver las políticas integradas y administradas asociadas a su identidad de usuario. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante el AWS CLI o AWS API.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Especifique recursos en una política
Para muchas API acciones de Amazon Translate, puede restringir el alcance de una política especificando los recursos permitidos (o no permitidos) para la acción. Para ver una lista de las acciones que pueden especificar recursos, consulte Acciones definidas por Amazon Translate. Puede especificar los siguientes recursos en una política:
-
Custom terminology— Utilice el siguiente ARN formato:
arn:partition:translate:region:account:terminology/terminology-name/LATEST -
Parallel data— Utilice el siguiente ARN formato:
arn:partition:translate:region:account:parallel-data/parallel-data-name
Puede utilizar el carácter comodín para especificar varios recursos en la política. El siguiente ejemplo de política permite todos los recursos terminológicos personalizados para todas las acciones de Amazon Translate.
{ "Sid": "Example1", "Effect": "Allow", "Action": "translate:*", "Resource": [ "arn:aws:translate:us-west-2:123456789012:terminology/*" ] }
El siguiente ejemplo de política deniega el acceso a un recurso de datos paralelo específico para la acción GetParallelData.
{ "Sid": "Example2", "Effect": "Deny", "Action": "translate:GetParallelData", "Resource": [ "arn:aws:translate:us-west-2:123456789012:parallel-data/test-parallel-data" ] }
Permisos para utilizar claves administradas por el cliente con terminologías personalizadas
Si usas AWS Key Management Service (AWS KMS) claves gestionadas por el cliente con terminologías personalizadas de Amazon Translate, es posible que necesites permisos adicionales en tu política de KMS claves.
Para llamar a la ImportTerminology operación con una clave administrada por el cliente, añade los siguientes permisos a tu política de KMS claves actual.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access for use with Amazon Translate", "Effect": "Allow", "Principal": { "AWS": "IAM USER OR ROLE ARN" }, "Action": [ "kms:CreateAlias", "kms:CreateGrant", "kms:DescribeKey", "kms:GenerateDataKey", "kms:GetKeyPolicy", "kms:PutKeyPolicy", "kms:RetireGrant" ], "Resource": "*" } ] }
Para llamar a la GetTerminology operación para una terminología personalizada que se importó con una clave administrada por el KMS cliente, añada los siguientes permisos a la política de KMS claves.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access for use with Amazon Translate", "Effect": "Allow", "Principal": { "AWS": "IAM USER OR ROLE ARN" }, "Action": [ "kms:Decrypt", "kms:GetKeyPolicy", "kms:PutKeyPolicy" ], "Resource": "*" } ] }
Para llamar a DeleteTermionlogy las operaciones ListTerminologies o de una terminología personalizada que se importó con una clave gestionada por el cliente, no es necesario disponer de ninguna información especial AWS KMS permisos.
Para utilizar las claves administradas por el cliente en todas las operaciones terminológicas personalizadas, añada los siguientes permisos a la política de KMS claves.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access for use with Amazon Translate", "Effect": "Allow", "Principal": { "AWS": "IAM USER OR ROLE ARN" }, "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", "kms:GetKeyPolicy", "kms:PutKeyPolicy", "kms:RetireGrant" ], "Resource": "*" } ] }
Para obtener más información sobre las operaciones y los recursos de Amazon Translate, consulte Acciones, recursos y claves de condición de Amazon Translate en la Referencia de autorizaciones de servicio.
