Restrinja los permisos con las declaraciones de política de funciones de IAM - Guía de usuario avanzada de AMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Restrinja los permisos con las declaraciones de política de funciones de IAM

AMS usa una función de IAM para establecer los permisos de usuario a través del servicio de federación.

Zona de destino de una sola cuenta AMS: consulte SALZ: roles de usuario de IAM predeterminados.

Zona de destino multicuenta AMS: consulte MALZ: roles de usuario de IAM predeterminados.

Un rol de IAM es una entidad de IAM que define un conjunto de permisos para realizar solicitudes de servicio. AWS Las funciones de IAM no están asociadas a un usuario o grupo específico. En cambio, las entidades de confianza asumen funciones, como los usuarios, las aplicaciones o los AWS servicios de IAM, como Amazon EC2. Para obtener más información, consulte Roles de IAM.

Puede definir la política que desee para un usuario que asuma el rol de usuario de AMS IAM mediante la operación de API del AWS Security Token Service (STS), AssumeRoleintroduciendo una política de IAM más restrictiva en el Policy campo de solicitud.

A continuación, se incluyen ejemplos de declaraciones de política que puede utilizar para restringir el acceso a CT.

Con los grupos de Active Directory (AD) configurados y la operación de la API del AWS Security Token Service (STS) AssumeRole, puede establecer permisos para determinados usuarios o grupos, incluida la restricción del acceso a determinados tipos de cambios (CTs). Puede utilizar las declaraciones de política que se muestran a continuación para restringir el acceso a CT de varias maneras.

Declaración de cambio de tipo de AMS en el perfil de instancia de IAM predeterminado que permite el acceso a todas las llamadas a la API de AMS (amscm y amsskms) y a todos los tipos de cambios:

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. Declaración que permite el acceso y todas las acciones solo a dos de las especificadas CTs, donde «Acción» se refiere a las operaciones de la API de AMS (una amscm o variasamsskms) y «Recurso» representa el tipo de cambio y el número de versión existentes: IDs

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. Se especificó una declaración que permitía el acceso a CreateRfc UpdateRfc, y SubmitRfc solo a dos de ellas CTs:

  3. Declaración para permitir el acceso a CreateRfc UpdateRfc, y SubmitRfc en todos los disponibles CTs:

  4. Declaración en la que se deniega el acceso a todas las acciones en las zonas restringidas de Connecticut y se permite en otras CTs: