Los permisos brindan la posibilidad de especificar y controlar el acceso a los servicios y los recursos de AWS. Para otorgar permisos a los roles de IAM, puede adjuntar una política que especifique el tipo de acceso, las acciones que se pueden realizar y los recursos en los que se pueden efectuar las acciones.
Mediante el uso de políticas de IAM, puede otorgar acceso a las API y los recursos de servicios de AWS específicos. También puede definir condiciones específicas en las que se concede el acceso, como otorgar el acceso a las identidades de una organización de AWS específica u otorgar el acceso a través de un servicio de AWS específico.
Obtenga más información acerca del control de acceso minucioso
Con los roles de IAM, delega el acceso a los usuarios o los servicios de AWS para que operen dentro de su cuenta de AWS. Los usuarios de su proveedor de identidades o los servicios de AWS pueden asumir un rol para obtener credenciales de seguridad temporales que se pueden utilizar para realizar una solicitud de AWS en la cuenta del rol de IAM. En consecuencia, los roles de IAM proporcionan una forma de confiar en las credenciales de corto plazo para usuarios, cargas de trabajo y servicios de AWS que deban llevar a cabo acciones en sus cuentas de AWS.
Obtenga más información acerca de cómo delegar el acceso mediante el uso de roles de IAM
Las funciones de IAM en cualquier lugar permiten que las cargas de trabajo que se ejecutan fuera de AWS, como los entornos locales, híbridos y multinube, accedan a los recursos de AWS mediante certificados digitales X.509 emitidos por autoridades de certificación registradas. Con las funciones de IAM en cualquier lugar, puede obtener credenciales temporales de AWS y usar las mismas políticas y roles de IAM que configuró para que las cargas de trabajo de AWS accedieran a los recursos de AWS.
Más información sobre las funciones de IAM en cualquier lugar
Lograr el privilegio mínimo es un ciclo continuo para otorgar los permisos precisos adecuados a medida que evolucionan sus requisitos. El analizador de acceso de IAM lo ayuda a optimizar la administración de permisos a medida que establece, verifica y ajusta los permisos.
Con AWS Organizations, puede utilizar políticas de control de servicios (SCP) para establecer barreras de protección de permisos que cumplen todas las funciones y los usuarios de IAM de las cuentas de una organización. Si recién está comenzando a utilizar SCP o tiene SCP existentes, puede utilizar el consejero de acceso de IAM para que lo ayude a restringir los permisos con seguridad en toda su organización de AWS.
Obtenga más información acerca de las barreras de protección de permisos
El control de acceso basado en atributos (ABAC) se trata de una estrategia de autorización que puede utilizar para crear permisos precisos en función de los atributos de los usuarios, como el departamento, el rol de trabajo y el nombre del equipo. Mediante el uso del ABAC, puede reducir la cantidad de permisos diferentes que necesita para crear controles precisos en su cuenta de AWS.