Permisos y acciones admitidas
De forma predeterminada, los nuevos usuarios de IAM no tienen permisos asignados. Debe agregar un usuario a uno o más grupos y adjuntar políticas o roles de permisos a estos grupos. Los usuarios heredan permisos de los grupos a los que se agregan y pueden realizar operaciones específicas a servicios en la nube según los permisos.
Puede conceder permisos a los usuarios mediante roles y políticas. Los roles son un tipo de mecanismo de autorización de grano grueso que define permisos relacionados con las responsabilidades del usuario. Las políticas definen permisos basados en API para operaciones en recursos específicos bajo ciertas condiciones, lo que permite un control de acceso más detallado y seguro de los recursos en la nube.
La autorización basada en políticas es útil si desea permitir o denegar el acceso a una API.
Una cuenta tiene todos los permisos necesarios para invocar a todas las API, pero a los usuarios de IAM se les deben asignar los permisos necesarios. Los permisos necesarios para invocar a una API están determinados por las acciones admitidas por la API. Solo los usuarios a los que se les han concedido permisos para permitir las acciones pueden invocar a la API con éxito. Por ejemplo, si un usuario de IAM desea consultar ECS mediante una API, se deben tener permisos que permitan la acción ecs:servers:list.
Acciones admitidas
IAM proporciona políticas definidas por el sistema que se pueden utilizar directamente. También puede crear directivas personalizadas y utilizarlas para complementar las directivas definidas por el sistema, implementando un control de acceso más refinado. Las operaciones admitidas por las políticas son específicas de las API. Los siguientes son conceptos comunes relacionados con las políticas:
- Permisos: Instrucciones de una política que permiten o niegan ciertas operaciones.
- APIs: Las API de REST que pueden ser invocadas por un usuario al que se le han concedido permisos específicos.
- Acciones: Operaciones específicas permitidas o denegadas en políticas personalizadas.
- IAM o proyectos de empresa: Tipo de proyectos para los que una acción tendrá efecto. Las políticas que contienen acciones tanto para IAM como para proyectos empresariales pueden utilizarse y surtir efecto tanto para IAM como para Enterprise Management. Las políticas que solo contienen acciones para proyectos de IAM se pueden usar y solo tienen efecto para IAM. Para obtener más información sobre las diferencias entre IAM y proyectos de empresa, consulte ¿Cuáles son las diferencias entre los proyectos de IAM y los proyectos empresariales?
- La marca de verificación (√) y el símbolo de cruz (x) indican que una acción tiene efecto o no tiene efecto para el tipo correspondiente de proyectos. Un guion (-) indica que una acción es irrelevante para el tipo correspondiente de proyectos.
- IAM es un servicio global que no implica autorización basada en proyectos.
- Algunos permisos solo admiten acciones y no admiten API, como permisos para la gestión de dispositivos MFA virtuales.