Ejemplos de políticas de AWS IAM

Emplee estas plantillas completas de políticas IAM para tipos de flujo de trabajo comunes. Cada una sigue el principio de mínimo privilegio al restringir el acceso a recursos específicos.

Mensajería SQS flujo de trabajo

Restringir el acceso a una cola específica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    },
    {
      "Effect": "Allow",
      "Action": "sqs:GetQueueAttributes",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    }
  ]
}

Reemplace us-west-2 con su región, 123456789012 con su ID de cuenta de AWS y my-workflow-queue con el nombre de su cola.

EC2 gestión flujo de trabajo

Restringir el acceso a una instancia específica mediante etiqueta:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ec2:DescribeInstances", "ec2:DescribeTags"],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StopInstances",
        "ec2:StartInstances",
        "ec2:ModifyInstanceAttribute"
      ],
      "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "production"
        }
      }
    }
  ]
}

Esta política permite que el flujo de trabajo detenga/inicie/modifique solo instancias de la etiqueta EC2 con Environment=production.

Flujo de trabajo de DynamoDB

Restringir el acceso a una tabla específica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["dynamodb:Query", "dynamodb:GetItem", "dynamodb:PutItem"],
      "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/WorkflowData"
    }
  ]
}

Reemplace WorkflowData con el nombre de su tabla.

Responsable de sistemas flujo de trabajo

Restringir el acceso a documentos de automatización específicos:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ssm:CreateDocument", "ssm:DeleteDocument"],
      "Resource": "arn:aws:ssm:us-east-1:123456789012:document/WorkflowAutomation-*"
    },
    {
      "Effect": "Allow",
      "Action": ["ssm:StartAutomationExecution", "ssm:GetAutomationExecution"],
      "Resource": [
        "arn:aws:ssm:us-east-1:123456789012:automation-definition/WorkflowAutomation-*:*",
        "arn:aws:ssm:us-east-1:123456789012:automation-execution/*"
      ]
    }
  ]
}

Esto restringe los documentos de automatización a aquellos que comienzan con WorkflowAutomation-.

Flujo de trabajo de API Gateway

Restringir el acceso a una API específica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["apigateway:GET", "apigateway:PUT"],
      "Resource": "arn:aws:apigateway:us-west-2::/restapis/abc123xyz/*"
    }
  ]
}

Reemplace abc123xyz con su ID de API Gateway.

Recursos adicionales

Para obtener referencias completas sobre las licencias de AWS:

Políticas gestionadas de integraciónAWS : Lista completa de licencias AWS por servicio, además de plantillas de CloudFormation que puede adaptar.
Configurar sondeo de API de AWS: Patrones de configuración adicionales

Importante

Esos recursos emplean el ID de cuenta 754728514883 para la integración en la nube (monitoreo). Para la automatización del flujo de trabajo, emplee siempre 253490767857.

Descripción general de las credenciales de AWS

Compare los métodos de autenticación y elija el adecuado

Configuración del rol de IAM

Configurar el rol de IAM para flujos de trabajo de producción (recomendado)

Configuración de usuario IAM

Configurar un usuario de IAM con claves de acceso para pruebas

acciones de AWS

Explore EC2, Lambda, S3, SQS y otras acciones de AWS

Te ofrecemos esta traducción automática para facilitar la lectura.

Mensajería SQS flujo de trabajo .css-21sua1{background:none;border:none;width:0;padding:0;}