Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en identidades para Amazon Translate
De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar los recursos de Amazon Translate. Tampoco pueden realizar tareas con la API AWS Management Console AWS CLI, o AWS . Un administrador de IAM debe crear políticas de IAM que concedan permiso para realizar operaciones de API concretas en los recursos especificados que necesiten. El administrador debe asociar esas políticas a los usuarios o roles de que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con los documentos de políticas JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en la Guía del usuario de IAM.
Temas
Prácticas recomendadas de políticas basadas en identidad
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon Translate de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
-
Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las políticas AWS administradas que otorgan permisos en muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las políticas administradas por AWS o las políticas administradas por AWS para funciones de trabajo en la Guía del usuario de IAM.
-
Aplique permisos de privilegio mínimo: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte Políticas y permisos en IAM en la Guía del usuario de IAM.
-
Utilice condiciones en las políticas de IAM para restringir aún más el acceso: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo AWS CloudFormation. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
-
Utilice el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte Política de validación de Analizador de acceso de IAM en la Guía de usuario de IAM.
-
Requerir autenticación multifactor (MFA): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para solicitar la MFA cuando se invocan las operaciones de la API, agregue las condiciones de la MFA a sus políticas. Para más información, consulte Configuración del acceso a una API protegido por MFA en la Guía de usuario de IAM.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte las Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.
Permitir el acceso a la consola de Amazon Translate
Para acceder a la consola de Amazon Translate, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirte enumerar y ver detalles sobre los recursos de Amazon Translate de tu AWS cuenta. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios, grupos o roles) que tengan esa política.
Para los permisos de la consola de Amazon Translate, puede adjuntar la política TranslateFullAccess AWS gestionada a las entidades. Para obtener más información, consulte AWS políticas gestionadas para Amazon Translate.
También debe tener permisos para las acciones mostradas en la política siguiente. Estos permisos están incluidos en la política TranslateFullAccess.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRole", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "*" } ] }
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar. Para obtener más información, consulte Adición de permisos a un usuario en la Guía del usuario de IAM.
Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
Especifique recursos en una política
Para muchas acciones de la API de Amazon Translate, puede restringir el alcance de una política especificando los recursos permitidos (o no permitidos) para la acción. Para ver una lista de las acciones que pueden especificar recursos, consulte Acciones definidas por Amazon Translate. Puede especificar los siguientes recursos en una política:
-
Custom terminology: use el siguiente formato de ARN:
arn:partition:translate:region:account:terminology/terminology-name/LATEST -
Parallel data: use el siguiente formato de ARN:
arn:partition:translate:region:account:parallel-data/parallel-data-name
Puede utilizar el carácter comodín para especificar varios recursos en la política. El siguiente ejemplo de política permite todos los recursos terminológicos personalizados para todas las acciones de Amazon Translate.
{ "Sid": "Example1", "Effect": "Allow", "Action": "translate:*", "Resource": [ "arn:aws:translate:us-west-2:123456789012:terminology/*" ] }
El siguiente ejemplo de política deniega el acceso a un recurso de datos paralelo específico para la acción GetParallelData.
{ "Sid": "Example2", "Effect": "Deny", "Action": "translate:GetParallelData", "Resource": [ "arn:aws:translate:us-west-2:123456789012:parallel-data/test-parallel-data" ] }
Permisos para utilizar claves administradas por el cliente con terminologías personalizadas
Si usa claves administradas por el cliente AWS Key Management Service (AWS KMS) con terminologías personalizadas de Amazon Translate, es posible que necesite permisos adicionales en su política de claves de KMS.
Para llamar a la operación ImportTerminology con un clave administrada por el cliente, agregue los siguientes permisos a la política de claves de KMS existente.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access for use with Amazon Translate", "Effect": "Allow", "Principal": { "AWS": "IAM USER OR ROLE ARN" }, "Action": [ "kms:CreateAlias", "kms:CreateGrant", "kms:DescribeKey", "kms:GenerateDataKey", "kms:GetKeyPolicy", "kms:PutKeyPolicy", "kms:RetireGrant" ], "Resource": "*" } ] }
Para llamar a la operación GetTerminology para una terminología personalizada que se ha importado con una clave administrada por el cliente de KMS, agregue los siguientes permisos a la política de claves de KMS.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access for use with Amazon Translate", "Effect": "Allow", "Principal": { "AWS": "IAM USER OR ROLE ARN" }, "Action": [ "kms:Decrypt", "kms:GetKeyPolicy", "kms:PutKeyPolicy" ], "Resource": "*" } ] }
Para llamar a DeleteTermionlogy las operaciones ListTerminologies o de una terminología personalizada que se importó con una clave administrada por el cliente, no necesita tener ningún AWS KMS permiso especial.
Para utilizar claves administradas por el cliente con todas las operaciones de terminologías personalizadas, añada los siguientes permisos en la política de claves de KMS.
{ "Id": "key-consolepolicy-3", "Version": "2012-10-17", "Statement": [ { "Sid": "Allow access for use with Amazon Translate", "Effect": "Allow", "Principal": { "AWS": "IAM USER OR ROLE ARN" }, "Action": [ "kms:CreateGrant", "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey", "kms:GetKeyPolicy", "kms:PutKeyPolicy", "kms:RetireGrant" ], "Resource": "*" } ] }
Para obtener más información sobre las operaciones y los recursos de Amazon Translate, consulte Acciones, recursos y claves de condición de Amazon Translate en la Referencia de autorizaciones de servicio.
