Los roles de IAM permiten delegar el acceso a usuarios o servicios que normalmente no tienen acceso a los recursos de AWS de su organización. Los usuarios de IAM o los servicios de AWS pueden asumir un rol para obtener credenciales de seguridad temporales que se puedan utilizar para realizar llamadas a la API de AWS. Por consiguiente, no tiene que compartir credenciales a largo plazo ni definir permisos para cada entidad que requiera acceso a un recurso.

Introducción a los roles de IAM para instancias EC2

En los siguientes casos se destacan algunos de los desafíos que debe afrontar cuando delega acceso:

  • Concesión de acceso a recursos de AWS para aplicaciones que se ejecutan en instancias de Amazon EC2

Para conceder acceso a los recursos de AWS a las aplicaciones de una instancia de Amazon EC2, los desarrolladores deben distribuir sus credenciales a cada instancia. Las aplicaciones pueden utilizar tales credenciales para obtener acceso a recursos como los buckets de Amazon S3 o los datos de Amazon DynamoDB. No obstante, distribuir credenciales a largo plazo para cada instancia resulta complicado de administrar y constituye un posible riesgo para la seguridad. En el vídeo anterior se describe cómo utilizar las funciones para abordar este problema de seguridad de manera más detallada.

  • Acceso entre cuentas
Para controlar o administrar el acceso a los recursos, como aislar un entorno de desarrollo de un entorno de producción, debe disponer de varias cuentas de AWS. No obstante, en algunos casos, es posible que los usuarios de una cuenta necesiten obtener acceso a los recursos de otra cuenta. Por ejemplo, un usuario del entorno de desarrollo puede necesitar obtener acceso al entorno de producción para incorporar una actualización. Por tanto, los usuarios deben disponer de las credenciales de cada cuenta, pero administrar varias credenciales para distintas cuentas dificulta la administración de identidades. Usar un rol de IAM puede simplificar el proceso. Lea el caso práctico de Trend Micro para ver el acceso cruzado de cuentas en acción.
  • Conceder permisos a los servicios de AWS
Antes de que los servicios de AWS puedan realizar acciones para usted, debe concederles permisos para hacerlo. Puede utilizar los roles de AWS IAM para conceder permisos para que los servicios de AWS llamen a otros servicios de AWS en su nombre o para crear y administrar recursos de AWS en su cuenta. Los servicios de AWS como Amazon Lex también ofrecen roles vinculados al servicio que están predefinidos y pueden ser asumidos únicamente por ese servicio específico.

Para obtener más información sobre cómo administrar roles en IAM, consulte la sección Roles de la guía sobre cómo usar IAM.

Aprenda cómo administrar permisos con AWS IAM

Consulte página de administración de permisos
¿Listo para crear?
Introducción a AWS IAM
¿Tiene más preguntas?
Contacte con nosotros