Administración de identidades y accesos para AWS CloudHSM
AWS utiliza credenciales de seguridad para identificarle y para concederle acceso a sus recursos de AWS. Puede utilizar las funciones de AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen los recursos de AWS, total o parcialmente. Puede hacerlo sin compartir sus credenciales de seguridad.
De forma predeterminada, los usuarios de IAM no tienen permiso para crear, consultar ni modificar recursos de AWS. Para permitir que un usuario de IAM obtenga acceso a los recursos, como, por ejemplo, un equilibrador de carga, y realizar tareas, debe:
-
Crear una política de IAM que conceda permiso al usuario de IAM para utilizar los recursos específicos y las acciones de la API que necesita.
-
Asocie la política al usuario de IAM o al grupo al que pertenece el usuario de IAM.
Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.
Por ejemplo, puede utilizar IAM para crear usuarios y grupos en su cuenta de AWS. Un usuario de IAM puede ser una persona, un sistema o una aplicación. A continuación, puede conceder permisos a los usuarios y grupos de tal forma que puedan llevar a cabo acciones concretas en determinados recursos especificados mediante una política de IAM.
Concesión de permisos mediante políticas de IAM
Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.
Una política de IAM es un documento JSON que contiene una o varias instrucciones.
En el siguiente ejemplo de política de IAM, se permite a los usuarios describir las copias de seguridad de AWS CloudHSM en este de EE. UU. (norte de Virginia). Solo se permiten las solicitudes de descripción que se originen en este de EE. UU. (norte de Virginia).
-
Effect: el valor effect puede ser
AllowoDeny. De forma predeterminada, los usuarios de IAM no tienen permiso para utilizar los recursos y las acciones de la API, por lo que se deniegan todas las solicitudes. Si se concede un permiso explícito se anula el valor predeterminado. Una denegación explícita invalida cualquier permiso concedido. -
Action: el valor de action es la acción de la API para la que concede o deniega permisos. Para obtener más información sobre cómo especificar action, consulte Acciones de la API para AWS CloudHSM.
-
Resource: el recurso al que afecta la acción. AWS CloudHSM no admite los permisos a nivel de recurso. Debe utilizar el comodín * para especificar todos los recursos de AWS CloudHSM.
-
Condition: si lo desea, puede utilizar condiciones para controlar cuándo está en vigor la política. Para obtener más información, consulte Claves de condición para AWS CloudHSM.
Para obtener más información, consulte la Guía del usuario de IAM.
Acciones de la API para AWS CloudHSM
En el elemento Acción de su declaración de política de IAM, puede especificar cualquier acción de API que ofrezca AWS CloudHSM. El nombre de la acción debe llevar como prefijo la cadena en minúsculas cloudhsm:, tal y como se muestra en el ejemplo siguiente.
"Action": "cloudhsm:DescribeClusters"Para especificar varias acciones en una misma instrucción, inclúyalas entre corchetes y sepárelas por comas, tal y como se muestra en el siguiente ejemplo.
"Action": [
"cloudhsm:DescribeClusters",
"cloudhsm:DescribeHsm"
]También puede utilizar el carácter comodín * para especificar varias acciones. En el siguiente ejemplo se especifican todos los nombres de acción de la API para AWS CloudHSM que comienzan por List.
"Action": "cloudhsm:List*"Para especificar todas las acciones de la API para AWS CloudHSM, utilice el carácter comodín *, tal y como se muestra en el siguiente ejemplo.
"Action": "cloudhsm:*"Para obtener la lista de acciones de API para AWS CloudHSM, consulte Acciones de AWS CloudHSM.
Claves de condición para AWS CloudHSM
Al crear una política, se pueden especificar las condiciones que controlan cuándo entra en vigor. Cada condición contiene uno o varios pares clave-valor. Existen claves de condición globales y claves de condición específicas del servicio.
AWS CloudHSM no tiene claves de contexto específicas del servicio.
Para obtener más información sobre las claves de condición globales, consulte Claves de contexto de condición de IAM y globales de AWS en la Guía del usuario de IAM.
Políticas administradas por AWS predefinidas para AWS CloudHSM
Las políticas administradas creadas por AWS conceden los permisos necesarios para casos de uso comunes. Puede asociar estas políticas a sus usuarios de IAM, en función del nivel de acceso que necesiten para AWS CloudHSM:
-
AWSCloudHSMFullAccess: concede el acceso total necesario para usar las características de AWS CloudHSM.
-
AWSCloudHSMReadOnlyAccess: concede acceso de solo lectura a las características de AWS CloudHSM.
Políticas administradas por el cliente para AWS CloudHSM
Le recomendamos que cree un grupo de administradores de IAM para AWS CloudHSM que contenga únicamente los permisos necesarios para ejecutar AWS CloudHSM. Asocie la política con los permisos adecuados a este grupo. Puede agregar usuarios de IAM al grupo según sea necesario. Cada usuario que agregue hereda la política del grupo de administradores.
Además, le recomendamos que cree grupos de usuarios adicionales en función de los permisos que necesitan los usuarios. Esto garantiza que solo los usuarios de confianza tengan acceso a acciones críticas de la API. Por ejemplo, puede crear un grupo de usuarios que utilice para conceder acceso de solo lectura a clústeres y HSM. Dado que este grupo no permite a un usuario eliminar clústeres o HSM, un usuario que no sea de confianza no puede afectar a la disponibilidad de una carga de trabajo de producción.
A medida que se agreguen nuevas características de administración de AWS CloudHSM, puede asegurarse de que solo los usuarios de confianza reciben acceso inmediato. Si asigna permisos limitados a las políticas en el momento de su creación, podrá asignarles manualmente los permisos de las nuevas características más adelante.
A continuación, se describen políticas de ejemplo de AWS CloudHSM. Para obtener información acerca de cómo crear una política y asociarla a un grupo de usuarios de IAM, consulte Creación de políticas en la pestaña JSON en la Guía del usuario de IAM.
ejemplo Ejemplo: permiso de solo lectura
Esta política permite el acceso a las acciones DescribeClusters y DescribeBackups de la API. También incluye permisos adicionales para acciones específicas de acciones de la API de Amazon EC2. No permite al usuario eliminar clústeres ni HSM.
ejemplo Ejemplo: permisos de usuario avanzado
Esta política permite el acceso a un subconjunto de las acciones de la API de AWS CloudHSM. También incluye permisos adicionales para acciones de la API de Amazon EC2 específicas. No permite al usuario eliminar clústeres ni HSM. Debe incluir la acción iam:CreateServiceLinkedRole para permitir a AWS CloudHSM crear automáticamente el rol vinculado al servicio AWSServiceRoleForCloudHSM en su cuenta. Esta función permite que AWS CloudHSM registre eventos. Para obtener más información, consulte Roles vinculados a servicios de AWS CloudHSM.
nota
Para ver los permisos específicos de cada API, consulte Acciones, recursos y claves de condición para AWS CloudHSM en la Referencia de autorizaciones de servicio.
ejemplo Ejemplo: permisos de administrador
Esta política permite el acceso a todas las acciones de la API de AWS CloudHSM, incluidas las acciones para eliminar HSM y clústeres. También incluye permisos adicionales para acciones de la API de Amazon EC2 específicas. Debe incluir la acción iam:CreateServiceLinkedRole para permitir a AWS CloudHSM crear automáticamente el rol vinculado al servicio AWSServiceRoleForCloudHSM en su cuenta. Esta función permite que AWS CloudHSM registre eventos. Para obtener más información, consulte Roles vinculados a servicios de AWS CloudHSM.
