Descripción de los permisos - AWS Identity and Access Management
Tipos de permisosCaso de uso de ejemplo: carga de trabajo de procesamiento de datos

Descripción de los permisos

Como parte del proceso de incorporación de características, tendrá que registrar en IAM las políticas que definan los permisos que desea solicitar en las cuentas de AWS de los clientes. El proceso de registro proporciona una experiencia más coherente a los clientes y ayuda a evitar las dificultades habituales en la creación de políticas.

Durante el registro, AWS evalúa sus políticas comparándolas con un conjunto de validaciones. Estas validaciones tienen por objeto estandarizar el formato y la estructura de las políticas y proporcionar protecciones básicas contra los antipatrones conocidos. Las validaciones también reducen el riesgo de escalada de privilegios, el acceso entre cuentas no deseado y el acceso generalizado a recursos de gran valor de las cuentas de los clientes.

Tipos de permisos

AWS considerará dos categorías de permisos: temporales y a largo plazo.

Permisos temporales

Los permisos temporales limitan los permisos asignados a cualquier sesión de acceso delegado temporal. Los permisos temporales se describen en las plantillas de políticas que se aplican a la sesión delegada. Las plantillas admiten los parámetros que se proporcionan al crear una solicitud de delegación. A continuación, los valores de estos parámetros se enlazan a la sesión. Los permisos temporales funcionan de la misma manera que las políticas de sesión disponibles en AWS STS en la actualidad: las políticas limitan la capacidad del usuario subyacente, pero no otorgan ningún acceso adicional. Para obtener más información, consulte la documentación de AWS STS sobre las políticas de sesión.

Permisos a largo plazo

Los permisos a largo plazo limitan los permisos de cualquier rol que se cree o administre mediante el acceso temporal. Los permisos a largo plazo se implementan como límites de permisos de IAM. Puede enviar uno o más límites de permisos a AWS como parte de la incorporación. Tras la aprobación, AWS le compartirá el ARN de una política al que podrá hacer referencia en sus políticas.

Estas políticas de límites tienen dos características importantes. En primer lugar, son inmutables. Si desea actualizar los permisos, puede registrar un nuevo límite de permisos. A continuación, puede adjuntar el nuevo límite de permisos a los roles de sus clientes; para ello, envíe una nueva solicitud de delegación. En segundo lugar, las políticas no tienen plantillas. Dado que la misma política de límites se comparte a nivel mundial, no pueden modificarse según el cliente.

importante

Los límites de permisos tienen un límite de tamaño máximo de 6144 caracteres.

nota

Si desea actualizar un límite de permisos o una plantilla de política, póngase en contacto con IAM en aws-iam-partner-onboarding@amazon.com. Una vez registrado el nuevo límite de permisos, puede enviar una solicitud de delegación a los clientes para que actualicen el rol de IAM y adjunten el límite de permisos recién registrado. Consulte la sección Ejemplos para obtener más información.

Caso de uso de ejemplo: carga de trabajo de procesamiento de datos

Pensemos en un proveedor de productos que ejecuta una carga de trabajo de procesamiento de datos en las cuentas de los clientes. El proveedor necesita configurar la infraestructura durante la incorporación inicial, pero también requiere acceso continuo para gestionar la carga de trabajo.

Permisos temporales (para la configuración inicial):

  • Crear instancias de Amazon EC2, VPC y grupos de seguridad

  • Crear un bucket de Amazon S3 para los datos procesados

  • Crear un rol de IAM para las operaciones en curso

  • Adjuntar un límite de permisos al rol de IAM

Permisos a largo plazo (rol de IAM con límite de permisos para las operaciones en curso):

  • Iniciar y detener instancias de Amazon EC2 para ejecutar trabajos de procesamiento

  • Leer los datos de entrada de un bucket de Amazon S3

  • Escribir los resultados procesados en un bucket de Amazon S3

Los permisos temporales se utilizan una vez durante la incorporación para configurar la infraestructura. El rol de IAM creado durante este proceso tiene un límite de permisos que limita sus permisos máximos solo a las operaciones necesarias para la administración continua de la carga de trabajo. Esto garantiza que, incluso si se modifican las políticas del rol, no pueda superar los permisos definidos en el límite.