Los roles de AWS Identity and Access Management (IAM) son entidades que usted crea y les asigna permisos específicos para permitir identidades de confianza, como identidades y aplicaciones para el personal a fin de ejecutar acciones en AWS. Cuando las entidades de confianza asumen los roles de IAM, se les otorgan solo los permisos para los que tienen alcance estos roles. El uso de roles de IAM es una práctica recomendada en materia de seguridad porque proporcionan credenciales temporales que no hacen falta rotar.
Situaciones comunes en las que se utilizan los roles de IAM
Federar identidades para el personal en AWS: con el Centro de identidades de IAM, los usuarios pueden utilizar las credenciales corporativas existentes a fin de federarse en las cuentas de AWS. Mediante los roles de IAM, puede especificar los permisos que los usuarios deberían tener a la hora de acceder a las cuentas de AWS.
Acceder a las cargas de trabajo dentro de AWS: una carga de trabajo es una colección de recursos y código, como una aplicación, que requiere una identidad para realizar solicitudes a los servicios de AWS. Con los roles de IAM, su aplicación que se ejecuta en cualquier entorno informático de AWS, como las instancias de Amazon EC2, pueden acceder a los recursos de AWS con credenciales temporales. De esta forma, no es necesario administrar credenciales a largo plazo.
Acceder a cargas de trabajo que se ejecutan por fuera de AWS. es posible que tenga cargas de trabajo que se ejecutan por fuera de AWS y que deban acceder a sus recursos de AWS. Con las Funciones de IAM en cualquier lugar, sus aplicaciones que están fuera de AWS pueden obtener acceso temporal a los recursos que se encuentran en su entorno de AWS.
Habilitar el acceso entre cuentas: recomendamos utilizar varias cuentas de AWS para aislar y administrar sus aplicaciones y datos empresariales. A fin de permitir que sus identidades de una cuenta de AWS accedan a los recursos de otra cuenta de AWS, puede utilizar roles de IAM para brindarles acceso.
Otorgar acceso a servicios de AWS: los servicios de AWS necesitan recibir permiso para realizar acciones en su cuenta de AWS a su nombre. Cuando configura un entorno de servicio de AWS, debe definir un rol para el servicio que se va a asumir. De esta forma, el servicio puede asumir el rol de servicio y realizar solo las acciones que usted haya especificado.
Para obtener más información sobre los roles, consulte Roles de IAM en la Guía del usuario de IAM.
Aprenda a administrar permisos con IAM