Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS

Las verificaciones de límites de permisos de AMS le ayudan a cumplir con la política de límites de permisos predeterminada proporcionada por AMS. Esta política es una lista de acciones denegadas por el aprovisionamiento automatizado de IAM por parte de AMS. Las políticas de aprovisionamiento que contienen estas acciones restringidas requieren una aceptación adicional y explícita del riesgo. Descargue la política aquí: boundary-policy.zip.

Utilice las comprobaciones de la política de límites de permisos definidas por el cliente para personalizar las acciones de denegación más allá de los valores predeterminados de la política de límites de permisos de AMS. Si se incorpora al aprovisionamiento automatizado de IAM por AMS mediante el siguiente tipo de cambio: Administración | Cuenta gestionada | Aprovisionamiento automatizado de IAM por AMS con permisos de lectura y escritura | Activado (es necesario revisar) (ct-1706xvvk6j9hf), puede incluir una lista de acciones de denegación personalizadas que especifiquen acciones restringidas adicionales.

Puede actualizar la lista de acciones de denegación mediante el tipo de cambio: Administración | Cuenta gestionada | Aprovisionamiento automatizado de IAM con permisos de lectura y escritura | Actualizar lista de denegaciones personalizada (ct-2r9xvd3sdsic0). Debe utilizar AWSManagedServicesIAMProvisionAdminRole la función de IAM dedicada para ejecutar este tipo de cambio.

nota

  • Debe proporcionar una lista completa de las acciones de denegación para cada actualización. La lista anterior se sustituye por la nueva.

  • La lista de acciones de denegación debe contener únicamente las acciones que se van a denegar. No se admiten las acciones de permiso.

  • La lista de acciones de denegación se encuentra en la cuenta con el nombre AWSManagedServicesIAMProvisionCustomerBoundaryPolicy de una política gestionada por IAM. La política no debe estar asociada a ningún rol.

  • El término límite de permisos utilizado para designar las acciones denegadas en el aprovisionamiento automatizado de IAM por parte de AMS tiene un significado contextual diferente al del límite de permisos de IAM. El límite de permisos de IAM establece el permiso máximo que una política puede conceder en tiempo de ejecución a una entidad de IAM. Para obtener más información sobre el límite de permisos de IAM, consulte los tipos de políticas en la Guía del AWS Identity and Access Management usuario. El límite de permisos del aprovisionamiento automatizado de IAM por parte de AMS impide aprovisionar una política de IAM que contenga un conjunto determinado de permisos, por ejemplo, una lista de acciones denegadas.