¿Cuándo uso IAM? - AWS Identity and Access Management
Cuando lleva a cabo diferentes funciones de trabajoCuando tiene autorización para acceder a los recursos de AWSCuando inicia sesión como un usuario de IAM Cuando asume un rol de IAMCuando crea políticas y permisos

¿Cuándo uso IAM?

AWS Identity and Access Management es un servicio de infraestructura central que proporciona la base para el control de acceso basado en identidades en AWS. Utiliza IAM cada vez que accede a su cuenta de AWS. La forma en que utilice IAM dependerá de las responsabilidades y funciones laborales específicas de su organización. Los usuarios de los servicios de AWS utilizan IAM para acceder a los recursos de AWS necesarios para sus tareas diarias y los administradores asignan los permisos adecuados. Los administradores de IAM, por otro lado, son responsables de administrar las identidades de IAM y de redactar las políticas para controlar el acceso a los recursos. Independientemente de su rol, interactúa con IAM cada vez que autentica y autoriza el acceso a los recursos de AWS. Esto podría implicar iniciar sesión como usuario de IAM, asumir un rol de IAM o utilizar federación de identidades para disfrutar de acceso fluido. Conocer las diversas capacidades y casos de uso de IAM es fundamental para administrar de manera eficaz el acceso seguro al entorno de AWS. IAM ofrece un enfoque flexible y detallado en lo que respecta a crear políticas y permisos. Puede definir políticas de confianza para controlar qué entidades principales pueden asumir un rol, además de las políticas basadas en la identidad que especifican las acciones y los recursos a los que un usuario o rol puede acceder. Al configurar estas políticas de IAM, puede ayudar a garantizar que los usuarios y las aplicaciones cuenten con el nivel adecuado de permisos para realizar las tareas requeridas.

Cuando lleva a cabo diferentes funciones de trabajo

AWS Identity and Access Management es un servicio de infraestructura central que proporciona la base para el control de acceso basado en identidades en AWS. Utiliza IAM cada vez que accede a su cuenta de AWS.

La forma en que utiliza IAM difiere en función del trabajo que realiza en AWS.

  • Usuario de servicio: si utiliza un servicio de AWS para realizar el trabajo, el administrador le proporciona las credenciales y los permisos necesarios. Es posible que a medida que utilice características más avanzadas para realizar su trabajo, necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarlo a solicitar los permisos correctos a su administrador.

  • Administrador de servicio: si está a cargo de un recurso de AWS en la empresa, probablemente tenga acceso completo a IAM. Su trabajo consiste en determinar a qué características y recursos de IAM deben acceder los usuarios del servicio. Luego, debe enviar solicitudes a su administrador de IAM para cambiar los permisos de los usuarios de su servicio. Revise la información de esta página para conocer los conceptos básicos de IAM.

  • Administrador de IAM: si es un administrador de IAM, administra identidades de IAM y escribe políticas para administrar el acceso a IAM.

Cuando tiene autorización para acceder a los recursos de AWS

La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Debe estar autenticado como Usuario raíz de la cuenta de AWS, un usuario de IAM o asumiendo un rol de IAM.

Puede iniciar sesión como una identidad federada con las credenciales de un origen de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales de Google/Facebook. Para obtener más información sobre el inicio de sesión, consulte Cómo iniciar sesión en la Cuenta de AWS en la Guía del usuario de AWS Sign-In.

Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte AWS Signature Version 4 para solicitudes de API en la Guía del usuario de IAM.

Cuando inicia sesión como un usuario de IAM

Un usuario de IAM es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales a largo plazo. Para obtener más información, consulte Solicitar que los usuarios humanos utilicen la federación con un proveedor de identidades para acceder a AWS mediante credenciales temporales en la Guía del usuario de IAM.

Un grupo de IAM especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte Casos de uso para usuarios de IAM en la Guía del usuario de IAM.

Cuando asume un rol de IAM

Un rol de IAM es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol cambiando de un usuario a un rol de IAM (consola) o llamando a una operación de la API de la AWS CLI o AWS. Para obtener más información, consulte Métodos para asumir un rol en la Guía del usuario de IAM.

Los roles de IAM son útiles para el acceso de usuarios federados, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.

Cuando crea políticas y permisos

Los permisos se conceden a un usuario creando una política, que es un documento que elabora una lista de las acciones que puede realizar un usuario y los recursos que afectan a dichas acciones. De forma predeterminada, todas las acciones o recursos que no se permiten de forma explícita se deniegan. Las políticas se pueden crear y asociar a entidades principales (usuarios, grupos de usuarios, roles asumidos por usuarios y recursos).

Puede utilizar estas políticas con un rol de IAM:

  • Política de confianza: define qué entidad principal pueden asumir el rol y en qué condiciones. Una política de confianza es un tipo específico de política basada en recursos para roles de IAM. Un rol solo puede tener una política de confianza.

  • Políticas basadas en identidad (insertadas y administradas): estas políticas definen los permisos que se le conceden (o se le deniegan) al usuario del rol y en qué recursos puede o no implementarlos.

Utilice Ejemplos de políticas basadas en identidad de IAM para definir los permisos para las identidades de IAM. Cuando encuentre la política que necesita, elija ver la política para ver el JSON de la política. Puede utilizar el documento de política JSON como plantilla de sus propias políticas.

nota

Si utiliza un enfoque con IAM Identity Center para administrar a los usuarios, asigna conjuntos de permisos en IAM Identity Center en lugar de asociar una política de permisos a una entidad principal. Cuando asigna un conjunto de permisos a un grupo o usuario en AWS IAM Identity Center, IAM Identity Center crea los roles de IAM correspondientes en cada cuenta y adjunta a esos roles las políticas especificadas en el conjunto de permisos. IAM Identity Center administra el rol y permite que los usuarios autorizados que usted definió asuman el rol. Si modifica el conjunto de permisos, IAM Identity Center garantiza que las políticas y los roles de IAM correspondientes se actualicen en consecuencia.

Para obtener más información, consulte What is IAM Identity Center? (¿Qué es el Centro de identidades de IAM?) en la Guía del usuario de AWS IAM Identity Center.