Los roles de IAM permiten delegar el acceso a usuarios o servicios que normalmente no tienen acceso a los recursos de AWS de su organización. Los usuarios de IAM o los servicios de AWS pueden asumir un rol para obtener credenciales de seguridad temporales que se puedan utilizar para realizar llamadas a la API de AWS. Por consiguiente, no tiene que compartir credenciales a largo plazo ni definir permisos para cada entidad que requiera acceso a un recurso.
En los siguientes casos se destacan algunos de los desafíos que debe afrontar cuando delega acceso:
- Concesión de acceso a recursos de AWS para aplicaciones que se ejecutan en instancias de Amazon EC2
Para conceder acceso a los recursos de AWS a las aplicaciones de una instancia de Amazon EC2, los desarrolladores deben distribuir sus credenciales a cada instancia. Las aplicaciones pueden utilizar tales credenciales para obtener acceso a recursos como los buckets de Amazon S3 o los datos de Amazon DynamoDB. No obstante, distribuir credenciales a largo plazo para cada instancia resulta complicado de administrar y constituye un posible riesgo para la seguridad. En el vídeo anterior se describe cómo utilizar las funciones para abordar este problema de seguridad de manera más detallada.
- Acceso entre cuentas
- Conceder permisos a los servicios de AWS
Para obtener más información sobre cómo administrar roles en IAM, consulte la sección Roles de la guía sobre cómo usar IAM.
Aprenda cómo administrar permisos con AWS IAM