Concesión de permisos para crear credenciales de seguridad temporales - AWS Identity and Access Management

Concesión de permisos para crear credenciales de seguridad temporales

De forma predeterminada, los usuarios de IAM no tienen permisos para crear credenciales de seguridad temporales para sesiones de usuario federado de AWS STS y roles. Debe utilizar una política para proporcionar estos permisos a los usuarios. Aunque pueda conceder permisos directamente a un usuario, le recomendamos encarecidamente que conceda permisos a los grupos. Esto facilita en gran medida la administración de los permisos. Cuando alguien ya no tenga que realizar las tareas asociadas a los permisos, solo tiene que retirarlo del grupo. Si otra persona necesita realizar dicha tarea, añádala al grupo para concederle los permisos.

Para otorgar a un grupo de IAM permiso para crear credenciales de seguridad temporales para sesiones de usuario federado de AWS STS o roles, debe asociar una política que conceda uno o ambos de los siguientes privilegios:

  • Para que las entidades principales federadas de OIDC y SAML accedan a un rol de IAM, otorgue acceso a AWS STS AssumeRole.

  • Para los usuarios federados de AWS STS que no necesitan un rol, otorgue acceso a AWS STS GetFederationToken.

Para obtener información sobre las diferencias entre las operaciones de API AssumeRole y GetFederationToken, consulte Solicitud de credenciales de seguridad temporales.

Los usuarios de IAM también pueden llamar a GetSessionToken para crear credenciales de seguridad temporales. No se requieren permisos para que un usuario llame a GetSessionToken. La finalidad de esta operación es autenticar al usuario mediante MFA. No se pueden utilizar políticas para controlar la autenticación. Esto significa que no se puede impedir que los usuarios de IAM llamen a GetSessionToken para crear credenciales temporales.

ejemplo Ejemplo de política que concede permiso para asumir un rol

La siguiente política de ejemplo concede permiso para llamar a AssumeRole para el rol UpdateApp en la Cuenta de AWS 123123123123. Cuando se usa AssumeRole, el usuario (o la aplicación) que crea las credenciales de seguridad en nombre de un usuario federado no puede delegar ningún permiso que no se haya especificado ya en la política de permisos de la función.

JSON
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::123123123123:role/UpdateAPP"
  }]
}
ejemplo Ejemplo de política que concede permiso para crear credenciales de seguridad temporales para un usuario federado

La siguiente política de ejemplo concede permiso para obtener acceso a GetFederationToken.

JSON
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": "*"
  }]
}
importante

Al otorgar a los usuarios de IAM permiso para crear credenciales de seguridad temporales para usuarios federados de AWS STS con GetFederationToken, tenga en cuenta que esto les permite delegar sus propios permisos. Para obtener más información sobre cómo delegar permisos entre usuarios de IAM y Cuentas de AWS, consulte Ejemplos de políticas para delegar el acceso. Para obtener más información sobre cómo controlar los permisos en las credenciales de seguridad temporales, consulte Permisos para credenciales de seguridad temporales.

ejemplo Ejemplo de política que concede a un usuario un permiso limitado para crear credenciales de seguridad temporales para usuarios federados

Cuando se permite que un usuario de IAM llame a GetFederationToken, la práctica recomendada es restringir los permisos que el usuario de IAM puede delegar. Por ejemplo, la siguiente política muestra cómo permitir que un usuario de IAM cree credenciales de seguridad temporales solo para usuarios federados de AWS STS cuyos nombres comienzan con Manager.

JSON
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": ["arn:aws:sts::123456789012:federated-user/Manager*"]
  }]
}