Los permisos le permiten especificar el acceso a recursos de AWS. Las entidades IAM (usuarios, grupos y funciones) otorgan los permisos y, de manera predeterminada, estas entidades comienzan sin permisos. Es decir, las entidades IAM no pueden hacer nada en AWS hasta que usted les otorgue los permisos correspondientes. Para brindar permisos a entidades, puede adjuntar una política que especifique el tipo de acceso, las acciones que se pueden realizar y los recursos en los que se pueden implementar las acciones. Además, puede especificar cualquier condición que deba definirse para que el acceso se otorgue o niegue.

How to Become an IAM Policy Ninja in 60 Minutes or Less
55:38
How to Become an AWS IAM Policy Ninja in 60 Minutes or Less

Comience con AWS de forma gratuita

Cree una cuenta gratuita
O inicie sesión en la Consola

La capa gratuita de AWS incluye 750 horas de nodos de caché micro con Amazon ElastiCache.

Consulte los detalles de la capa gratuita de AWS »

Para asignar permisos a un usuario, grupo, función o recurso, debe crear una política que le permita especificar:

  • Acciones: qué acciones del servicio de AWS admite. Por ejemplo, puede permitir que un usuario realice una llamada a la acción ListBucket de Amazon S3. Se denegarán todas las acciones que no se hayan permitido explícitamente.
  • Recursos: en qué recursos de AWS usted permite la acción. Por ejemplo, ¿qué buckets de Amazon S3 podrá utilizar el usuario para realizar la llamada ListBucket en la acción? Los usuarios no pueden acceder a ningún recurso para el que no se hayan concedido permisos explícitamente.
  • Efecto: si se permite o niega el acceso. Habida cuenta de que el acceso se deniega de forma predeterminada, por lo general debe escribir políticas donde el efecto sea permitir el acceso.
  • Condiciones: qué condiciones deben cumplirse para que la política entre en vigencia. Por ejemplo, podría permitir el acceso únicamente a los buckets de S3 específicos si el usuario se conecta desde un rango de IP específico o si usó una autenticación multifactor al iniciar sesión.

Crea políticas mediante el uso del editor visual o JSON. Una política comprende una o varias declaraciones, cada una de las cuales describe un conjunto de permisos. Para obtener más información acerca del lenguaje de la política, consulte el documento Referencia de políticas de AWS IAM.

El editor visual lo guía a través de la concesión de permisos mediante el uso de políticas de IAM sin exigirle que escriba las políticas en JSON (aunque aún puede crear y editar políticas en JSON, si así lo prefiere). La política que se muestra en la siguiente captura de pantalla se creó con el editor visual. Concede cinco acciones List y Read de Amazon S3 a los objetos y al bucket de S3 en SampleBucket si el prefijo comienza con MyPrefix.

Captura de pantalla del editor visual

Si usa la consola de administración de AWS para administrar permisos, puede ver resúmenes de políticas. Los resúmenes de políticas describen el nivel de acceso, los recursos y las condiciones de cada servicio definido en una política. La siguiente captura de pantalla muestra un ejemplo. Para ayudarlo a comprender los permisos definidos en una política, las acciones de cada servicio de AWS se clasifican en cuatro niveles de acceso: List, Read, Write y Permissions management.

Captura de pantalla de un resumen de política

Puede seleccionar una política predefinida administrada por AWS o crear una propia con el generador de políticas. Para obtener más información, consulte la sección Información general de las políticas de IAM de la guía Cómo usar IAM.