Esta es la guía para desarrolladores de AWS CDK v2. La primera versión del CDK pasó a la etapa de mantenimiento el 1.° de junio de 2022 y no cuenta con soporte desde el 1.° de junio de 2023.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cree y aplique límites de permisos para AWS CDK
Un límite de permisos es una característica avanzada de AWS Identity and Access Management (IAM) que se puede utilizar para establecer los permisos máximos que puede tener una entidad de IAM, como un usuario o un rol. Puede utilizar los límites de permisos para restringir las acciones que las entidades de IAM pueden realizar al utilizar AWS Cloud Development Kit (AWS CDK).
Para obtener más información sobre los límites de permisos, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
Cuándo utilizar los límites de permisos con AWS CDK
Considere la posibilidad de aplicar límites de permisos cuando necesite impedir que los desarrolladores de su organización realicen determinadas acciones con AWS CDK. Por ejemplo, si hay recursos específicos en su entorno de AWS que no desea que los desarrolladores modifiquen, puede crear y aplicar un límite de permisos.
Cómo aplicar los límites de permisos con AWS CDK
Cree el límite de permisos
En primer lugar, crea el límite de permisos para establecer el límite para una entidad IAM (usuario o rol). Esto puede ser mediante una política administrada por AWS o una política administrada por el cliente. Esta política limita los permisos máximos que puede tener el usuario o rol. Para obtener instrucciones sobre la creación de límites de permisos de IAM, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
Los límites de permisos establecen los permisos máximos que puede tener una entidad de IAM, pero no los conceden por sí solos. Debe utilizar los límites de permisos con las políticas de IAM para limitar y conceder de manera efectiva los permisos adecuados a su organización. También debe evitar que las entidades de IAM puedan escapar de los límites que usted establece. Para ver un ejemplo, consulte Delegar la responsabilidad a otros mediante los límites de permisos en la Guía del usuario de IAM.
Aplique el límite de permisos durante el arranque
Tras crear el límite de permisos, puede aplicarlo a AWS CDK durante el arranque.
Utilice la opción --custom-permissions-boundary y especifique el nombre del límite de permisos que se va a aplicar. A continuación, se muestra un ejemplo que aplica un límite de permisos denominado cdk-permissions-boundary:
$ cdk bootstrap --custom-permissions-boundary <cdk-permissions-boundary>
De forma predeterminada, CDK usa el rol de IAM CloudFormationExecutionRole definido en la plantilla de arranque para recibir permisos al realizar implementaciones. Al aplicar el límite de permisos personalizado durante el arranque, dicho límite se asocia a este rol. A continuación, el límite de permisos establecerá el número máximo de permisos que pueden conceder los desarrolladores de su organización al utilizar AWS CDK. Para obtener más información sobre esta función, consulte Roles de IAM creadas durante el arranque.
Cuando se aplican los límites de permisos de esta manera, se emplean en el entorno específico que se inicia. Para usar el mismo límite de permisos en varios entornos, debe aplicarlo para cada entorno durante el arranque. También puede aplicar diferentes límites de permisos para diferentes entornos.
Más información
Para obtener más información sobre los límites de permisos, consulte When and where to use IAM permissions boundaries
