Los roles de IAM permiten delegar el acceso a usuarios o servicios que normalmente no tienen acceso a los recursos de AWS de su organización. Los usuarios de IAM o los servicios de AWS pueden asumir un rol para obtener credenciales de seguridad temporales que se puedan utilizar para realizar llamadas a la API de AWS. Por consiguiente, no tiene que compartir credenciales a largo plazo ni definir permisos para cada entidad que requiera acceso a un recurso.

Secure access to AWS services by using IAM roles (6:04)

En los siguientes casos se destacan algunos de los desafíos que debe afrontar cuando delega acceso:

  • Concesión de acceso a recursos de AWS para aplicaciones que se ejecutan en instancias de Amazon EC2

Para conceder acceso a los recursos de AWS a las aplicaciones de una instancia de Amazon EC2, los desarrolladores deben distribuir sus credenciales a cada instancia. Las aplicaciones pueden utilizar tales credenciales para obtener acceso a recursos como los buckets de Amazon S3 o los datos de Amazon DynamoDB. No obstante, distribuir credenciales a largo plazo para cada instancia resulta complicado de administrar y constituye un posible riesgo para la seguridad. En el video anterior se describe cómo utilizar los roles para abordar de manera más detallada este problema de seguridad.

  • Acceso entre cuentas
Para controlar o administrar el acceso a los recursos, como aislar un entorno de desarrollo de un entorno de producción, debe disponer de varias cuentas de AWS. No obstante, en algunos casos, es posible que los usuarios de una cuenta necesiten obtener acceso a los recursos de otra cuenta. Por ejemplo, un usuario del entorno de desarrollo puede necesitar obtener acceso al entorno de producción para incorporar una actualización. Por tanto, los usuarios deben disponer de las credenciales de cada cuenta, pero administrar varias credenciales para distintas cuentas dificulta la administración de identidades. Usar un rol de IAM puede simplificar el proceso. Lea el caso práctico de Trend Micro para ver en acción el acceso entre cuentas.
  • Conceder permisos a los servicios de AWS
Antes de que los servicios de AWS puedan realizar acciones por usted, debe concederles permisos para hacerlo. Puede utilizar los roles de IAM con el fin de conceder permisos para que los servicios de AWS llamen a otros servicios de AWS en su nombre o para crear y administrar recursos de AWS en la cuenta en su nombre. Los servicios de AWS como Amazon Lex también ofrecen roles vinculados al servicio que están predefinidos y pueden asumirlos solo ese servicio específico.

Para obtener más información sobre cómo administrar roles en IAM, consulte la sección Roles de la guía Uso de IAM.

Aprenda a administrar permisos con IAM

Consulte la página de administración de permisos
¿Listo para crear?
Introducción a IAM
¿Tiene más preguntas?
Contacte con nosotros