(Opcional) Asignación de permisos a un usuario de IAM (por una parte delegada)
Cuando se establece una relación de confianza entre su cuenta y otra cuenta, usted se convierte en una parte delegada. De forma predeterminada, solo tu cuenta y los miembros del grupo de admin pueden gestionar los recursos del grupo de delegación. Para autorizar a los usuarios de IAM a gestionar estos recursos, asigne permisos a los usuarios.
Puede autorizar a un usuario de IAM a gestionar recursos para todas las partes delegadas, o autorizar al usuario a gestionar recursos para una parte delegada específica.
Prerrequisitos
- Se ha establecido una relación de confianza entre su cuenta y otra cuenta.
- Usted ha obtenido el nombre de la cuenta delegada y el nombre e ID de la agencia creada.
Procedimiento
- Cree un grupo de usuarios y concédale permisos.
- En la página User Groups, haga clic en Create User Group.
- Ingrese un nombre de grupo de usuarios.
- Haga clic en OK.
- En la fila que contiene el grupo de usuarios, haga clic en Authorize.
- Cree una política personalizada.
Este paso se utiliza para crear una política que contiene los permisos necesarios para gestionar los recursos de una agencia específica. Si desea autorizar a un usuario de IAM a gestionar recursos para todas las delegaciones, vaya a 1.f.
- En la página Select Policy/Role, haga clic en Create Policy en la esquina superior derecha de la lista de permisos.
- Introduzca un nombre de política.
- Seleccione JSON para Policy View.
- En el área Policy Content, introduzca el siguiente contenido:
{ "Version": "1.1", "Statement": [ { "Action": [ "iam:agencies:assume" ], "Resource": { "uri": [ "/iam/agencies/b36b1258b5dc41a4aa8255508xxx..." ] }, "Effect": "Allow" } ] }
- Reemplace b36b1258b5dc41a4aa8255508xxx... con la identificación de la delegación obtenida de una parte delegada. No haga ningún otro cambio.
- Para obtener más información acerca de los permisos, consulte Gestión de permisos.
- Haga clic en Next.
- Seleccione la política creada en el paso anterior o el rol de Agent Operator y haga clic en Next.
- Política personalizada: permite a un usuario gestionar recursos solo para una delegación específica.
- Rol de Agent Operator: Permite a un usuario gestionar recursos para todas las delegaciones.
- Especifique el ámbito de autorización.
- Haga clic en OK.
- Cree un usuario de IAM y agregue el usuario al grupo de usuarios.
- En la página Users, haga clic en Create User.
- En la página Create User, introduzca un nombre de usuario.
- Seleccione Management console access para Access Type y, a continuación, seleccione Set by user para Credential Type.
- Habilite la protección de inicio de sesión y haga clic en Next.
- Seleccione el grupo de usuarios creado en 1 y haga clic en Create.
Una vez completada la autorización, el usuario de IAM puede cambiar a la cuenta de la parte delegada y gestionar recursos específicos bajo la cuenta.
Operaciones relacionadas
La cuenta delegada o los usuarios de IAM autorizados pueden cambiar sus roles a la cuenta delegada para ver y usar sus recursos.