Los permisos brindan la posibilidad de especificar y controlar el acceso a los servicios y los recursos de AWS. Para otorgar permisos a los roles de IAM, puede adjuntar una política que especifique el tipo de acceso, las acciones que se pueden realizar y los recursos en los que se pueden efectuar las acciones.
Mediante el uso de políticas de IAM, puede otorgar acceso a las API y los recursos de servicios de AWS específicos. También puede definir condiciones específicas en las que se concede el acceso, como otorgar el acceso a las identidades de una organización de AWS específica u otorgar el acceso a través de un servicio de AWS específico.
Obtenga más información acerca del control de acceso minucioso
Con los roles de IAM, delega el acceso a los usuarios o los servicios de AWS para que operen dentro de su cuenta de AWS. Los usuarios de su proveedor de identidades o los servicios de AWS pueden asumir un rol para obtener credenciales de seguridad temporales que se pueden utilizar para realizar una solicitud de AWS en la cuenta del rol de IAM. En consecuencia, los roles de IAM proporcionan una forma de confiar en las credenciales de corto plazo para usuarios, cargas de trabajo y servicios de AWS que deban llevar a cabo acciones en sus cuentas de AWS.
Obtenga más información acerca de cómo delegar el acceso mediante el uso de roles de IAM
Las funciones de IAM en cualquier lugar permiten que las cargas de trabajo que se ejecutan fuera de AWS, como los entornos locales, híbridos y multinube, accedan a los recursos de AWS mediante certificados digitales X.509 emitidos por autoridades de certificación registradas. Con las funciones de IAM en cualquier lugar, puede obtener credenciales temporales de AWS y usar las mismas políticas y roles de IAM que configuró para que las cargas de trabajo de AWS accedieran a los recursos de AWS.
Más información sobre las funciones de IAM en cualquier lugar
Lograr el privilegio mínimo es un ciclo continuo para otorgar los permisos precisos adecuados a medida que evolucionan sus requisitos. El analizador de acceso de IAM lo ayuda a optimizar la administración de permisos a medida que establece, verifica y ajusta los permisos.
Con AWS Organizations, puede usar las políticas de control de servicios (SCP) y las políticas de control de recursos (RCP) para establecer barreras de protección de permisos que cumplen todas las entidades principales y los recursos de las cuentas de una organización. Puede usar las SCP para controlar de forma centralizada el acceso de las entidades principales (roles y usuarios de IAM) en sus cuentas. Puede usar las RCP para controlar de forma centralizada el acceso a los recursos de AWS en toda su organización. Puede optar por habilitar solo las SCP o las RCP, o usar ambos tipos de políticas juntos para lograr sus objetivos de seguridad.
Obtenga más información acerca de las barreras de protección de permisos
El control de acceso basado en atributos (ABAC) se trata de una estrategia de autorización que puede utilizar para crear permisos precisos en función de los atributos de los usuarios, como el departamento, el rol de trabajo y el nombre del equipo. Mediante el uso del ABAC, puede reducir la cantidad de permisos diferentes que necesita para crear controles precisos en su cuenta de AWS.