Las funciones de IAM permiten delegar acceso a usuarios o servicios que no suelen tener acceso a los recursos de AWS de la organización. Los usuarios de IAM o los servicios de AWS pueden asumir una función para obtener credenciales de seguridad temporales que se puedan utilizar para realizar llamadas a las API de AWS. Por consiguiente, no tiene que compartir credenciales a largo plazo ni definir permisos para cada entidad que requiera acceso a un recurso.
- Introducción de una manera más fácil de delegar permisos a los servicios de AWS: funciones vinculadas al servicio
- Adhere to IAM Best Practices in 2016
- How to Use a Single IAM User to Easily Access All Your Accounts by Using the AWS CLI
- Test Your Roles' Access Policies Using the AWS Identity and Access Management Policy Simulator
- Make a New Year’s Resolution: Adhere to IAM Best Practices
- Enable a New Feature in the AWS Management Console: Cross-Account Access
- Sharing AWS CloudTrail Log Files Between Accounts
Comience con AWS de forma gratuita
Cree una cuenta gratuitaO inicie sesión en la Consola
La capa gratuita de AWS incluye 750 horas de nodos de caché micro con Amazon ElastiCache.
En los siguientes casos se destacan algunos de los desafíos que debe afrontar al delegar acceso:
- Concesión de acceso a recursos de AWS para aplicaciones que se ejecutan en instancias de Amazon EC2
Para conceder a las aplicaciones de una instancia de Amazon EC2 acceso a los recursos de AWS, los desarrolladores deben distribuir sus credenciales a cada instancia. Las aplicaciones pueden utilizar tales credenciales para obtener acceso a recursos como los buckets de Amazon S3 o los datos de Amazon DynamoDB. No obstante, distribuir credenciales a largo plazo para cada instancia resulta complicado de administrar y constituye un posible riesgo para la seguridad. En el vídeo anterior se describe cómo utilizar las funciones para abordar este problema de seguridad de manera más detallada.
- Acceso entre cuentas
Para controlar o administrar el acceso a los recursos, como aislar un entorno de desarrollo de un entorno de producción, debe disponer de varias cuentas de AWS. No obstante, en algunos casos, es posible que los usuarios de una cuenta necesiten obtener acceso a los recursos de otra cuenta. Por ejemplo, un usuario del entorno de desarrollo puede necesitar obtener acceso al entorno de producción para incorporar una actualización. Por lo tanto, los usuarios deben disponer de las credenciales de cada cuenta, pero administrar varias credenciales para distintas cuentas dificulta la administración de identidades. Usar una función de IAM puede simplificar el proceso. Lea el caso práctico de Trend Micro para ver el acceso cruzado de cuentas en acción.
- Conceder permisos a los servicios de AWS
Antes de que los servicios de AWS puedan realizar acciones para usted, debe concederles permisos para hacerlo. Puede utilizar las funciones de AWS IAM para conceder permisos para que los servicios de AWS llamen a otros servicios de AWS en su nombre o para crear y administrar recursos de AWS en su cuenta. Los servicios de AWS como Amazon Lex también ofrecen funciones vinculadas al servicio que están predefinidas y pueden ser asumidas únicamente por ese servicio específico.
Para obtener más información sobre cómo administrar funciones en IAM, consulte la sección Roles de la guía sobre cómo usar IAM.