Administre Cuentas de AWS con conjuntos de permisos

Un conjunto de permisos es una plantilla que usted crea y mantiene, y que define un conjunto de una o más políticas de IAM. Los conjuntos de permisos simplifican la asignación del Cuenta de AWS acceso a los usuarios y grupos de su organización. Por ejemplo, puede crear un conjunto de permisos de administrador de base de datos que incluya políticas para administrar los servicios de AWS RDS, DynamoDB y Aurora, y usar ese conjunto de permisos único para conceder acceso a una lista de objetivos Cuentas de AWS de su organización a los administradores de AWS bases de datos.

El Centro de identidad de IAM asigna el acceso a un usuario o grupo de uno o más con conjuntos de permisos. Cuentas de AWS Cuando asigna un conjunto de permisos, IAM Identity Center crea los roles de IAM controlados por IAM Identity Center correspondientes en cada cuenta y adjunta a esos roles las políticas especificadas en el conjunto de permisos. El Centro de identidad de IAM administra la función y permite que los usuarios autorizados que haya definido asuman la función mediante el portal de usuarios de IAM Identity Center o la CLI AWS .  A medida que modifica el conjunto de permisos, IAM Identity Center garantiza que las políticas y los roles de IAM correspondientes se actualicen en consecuencia.

Puede agregar políticas administradas por AWS, políticas administradas por los clientes, políticas insertadas y políticas administradas por AWS para las funciones de trabajo a sus conjuntos de permisos. También puede asignar una política administrada por AWS o una política administrada por el cliente como límite de permisos.

Para crear un conjunto de permisos, consulte Creación, administración y eliminación de conjuntos de permisos.

Creación de un conjunto de permisos que aplique los permisos de privilegio mínimo

Para seguir la práctica recomendada de aplicar permisos con privilegios mínimos, después de crear un conjunto de permisos administrativos, cree un conjunto de permisos más restrictivo y asígnelo a uno o más usuarios. Los conjuntos de permisos creados en el procedimiento anterior proporcionan un punto de partida para evaluar la cantidad de acceso a los recursos que necesitan los usuarios. Para cambiar a los permisos con privilegios mínimos, puede ejecutar IAM Access Analyzer para supervisar a los directores con políticas gestionadas. AWS Después de saber qué permisos utilizan, puede escribir una política personalizada o generar una política con solo los permisos necesarios para su equipo.

Con IAM Identity Center, puede asignar varios conjuntos de permisos al mismo usuario. A su usuario administrativo también se le deben asignar conjuntos de permisos adicionales y más restrictivos. De esta forma, pueden acceder a usted solo Cuenta de AWS con los permisos necesarios, en lugar de utilizar siempre sus permisos administrativos.

Por ejemplo, si es desarrollador, después de crear su usuario administrativo en IAM Identity Center, puede crear un nuevo conjunto de permisos que conceda permisos de PowerUserAccess y, a continuación, asignarse ese conjunto de permisos a usted. A diferencia del conjunto de permisos administrativos, que utiliza permisos de AdministratorAccess, el conjunto de permisos de PowerUserAccess no permite la administración de usuarios de IAM y grupos. Al iniciar sesión en el AWS portal de acceso para acceder a su AWS cuenta, puede PowerUserAccess elegir no AdministratorAccess realizar las tareas de desarrollo en la cuenta.

Tenga en cuenta las siguientes consideraciones: