Protección de servicios de IAM con restricciones basadas en contexto
Las restricciones basadas en el contexto ofrecen a los propietarios y administradores de cuentas la posibilidad de definir y aplicar restricciones de acceso a los recursos de IBM Cloud® en función del contexto de las solicitudes de acceso. El acceso a los recursos de IAM se puede controlar con restricciones basadas en contexto y políticas de gestión de identidad y acceso (IAM). Como el acceso de IAM y las restricciones basadas en el contexto imponen el acceso, las restricciones basadas en el contexto ofrecen protección aunque las credenciales estén comprometidas o mal gestionadas. Para obtener más información, consulte Qué son las restricciones basadas en el contexto.
Estas restricciones funcionan con las políticas tradicionales de IAM, que se basan en la identidad, para proporcionar otra capa de protección. A diferencia de las políticas de IAM, las restricciones basadas en contexto no asignan el acceso. Las restricciones basadas en contexto comprueban que una solicitud de acceso provenga de un contexto permitido configurado.
Un usuario debe tener el rol de administrador en el servicio IAM específico que desea utilizar como destino para crear, actualizar o suprimir reglas. Un usuario también debe tener al menos el rol de Visor en el servicio de restricciones basadas en contexto para ver y añadir zonas de red a una regla. Los roles Editor o Administrador en el servicio de restricciones basadas en contexto otorgan a los usuarios acceso para crear, actualizar o suprimir zonas de red.
Cualquier IBM Cloud Activity Tracker o los sucesos de registro de auditoría generados proceden del servicio de restricciones basadas en contexto, no del servicio IAM. Para obtener más información, consulte Supervisión de restricciones basadas en contexto.
Para empezar a proteger los recursos de IAM con restricciones basadas en contexto, consulte la guía de aprendizaje de Cómo aprovechar las restricciones basadas en contexto para proteger los recursos.
Cómo se integra IAM con restricciones basadas en contexto
Para proteger un servicio de IAM específico o el grupo de todos los servicios de gestión de cuentas de IAM, realice los pasos siguientes:
- En la consola de IBM Cloud, haga clic en Administrar > Restricciones basadas en contexto y seleccione Reglas.
- Pulse Crear.
- Seleccione un servicio de IAM individual o la agrupación de todos los servicios de gestión de cuentas de IAM.
- A continuación, pulse Siguiente.
- Para proteger todo el servicio o grupo de servicios, limite la restricción a Todos los recursos.
- Para proteger sólo un conjunto específico de acciones, establezca el ámbito de la restricción en Recursos específicos.
- Seleccione un atributo y seleccione o especifique un valor. Para obtener más información sobre cómo restringir un conjunto específico de acciones, revise la sección correspondiente al servicio que ha establecido como destino en el paso 3.
- Pulse Revisar > Continuar.
- Añadir uno o más contextos. Seleccione los tipos de punto final y las zonas de red y, a continuación, pulse Añadir. Para obtener más información, consulte Creación de reglas.
- Pulse Continuar.
- Proporcione una descripción exclusiva.
- Seleccione cómo desea aplicar la regla. Puede decidir cómo desea imponer una regla al crearla y actualizar la aplicación de la regla en cualquier momento. Para obtener más información, consulte Imposición de reglas.
Supongamos que crea una regla que tiene como destino el servicio de grupos de acceso de IAM. Para completar cualquier acción de servicio de grupos de acceso de IAM, un usuario debe tener asignado el rol correcto con una política de acceso de
IAM y debe cumplir la regla de restricciones basada en contexto. Por ejemplo, un usuario con el rol de Visor en el servicio de grupos de acceso de IAM puede completar la acción iam-groups.members.read
si envía la solicitud desde
la zona de red correcta y satisface la regla. Si el mismo usuario con el rol de Visor intenta añadir un miembro al grupo (iam-groups.members.add
), no puede completar esa solicitud aunque satisfaga la regla porque no es un editor
o administrador.
Para ver las acciones asociadas con un servicio, vaya a la página Roles en la consola de IBM Cloud®.
Cómo se integra IAM con restricciones basadas en contexto
Para proteger un servicio de IAM específico o el grupo de todos los servicios de gestión de cuentas de IAM, utilice los atributos siguientes para crear la regla:
Servicio | Nombre | Valor |
---|---|---|
Servicio de grupos de acceso de IAM | serviceName |
iam-groups |
Servicio de gestión de acceso de IAM | serviceName |
iam-access-management |
Servicio de identidad IAM | serviceName |
iam-identity |
Servicio de gestión de usuarios | serviceName |
user-management |
Todos los servicios de gestión de cuentas de IAM | service_group_id |
IAM |
Para proteger todas las acciones asociadas con el servicio, cree una regla sin delimitar su ámbito a recursos o API específicos. Para obtener más información, consulte Creación de reglas. Para proteger sólo un conjunto específico de acciones, revise las secciones siguientes, que están enlazadas en la Tabla 1.
Protección del servicio de grupos de acceso de IAM
El servicio de grupos de acceso de IAM incluye la posibilidad de crear, editar y suprimir grupos de acceso. Las prestaciones se amplían para añadir o eliminar usuarios de grupos, asignar acceso al grupo y gestionar el acceso para que otros trabajen con grupos de acceso. Puede proteger todo el servicio, que incluye todas las acciones asociadas con el servicio.
Restricción de la capacidad de gestionar un grupo de acceso específico
Puede proteger la capacidad de gestionar un grupo de acceso específico delimitando una regla con el atributo Resource ID
. La creación de una regla que se circunscribe al atributo Resource ID
protege todas las acciones
asociadas con el servicio para ese grupo de acceso específico.
Para configurar esta regla, establezca como destino el servicio de grupos de acceso de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource ID
. A continuación,
especifique el ID del grupo de acceso que desea proteger. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.
Para encontrar el ID del grupo de acceso, vaya a Administrar > Acceso (IAM) > Grupos de acceso. Pulse el grupo de acceso que desea proteger en la regla. A continuación, pulse Detalles. El valor que desea
empieza por AccessGroupId
.
Restricción de la capacidad de gestionar un grupo de acceso específico utilizando la API
Puede proteger la capacidad de gestionar un grupo de acceso específico delimitando una regla con el atributo resource
. La creación de una regla que se circunscribe al atributo resource
protege todas las acciones asociadas
con el servicio para ese grupo de acceso específico.
El ejemplo siguiente muestra una regla en formato JSON que protege un grupo de acceso específico:
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-groups"
},
{
"name": "resource",
"value": "AccessGroupId1234",
"operator": "stringEquals"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
Para buscar el ID de grupo de acceso, utilice el método Listar grupos de acceso.
Protección del servicio de gestión de acceso de IAM
El servicio de gestión de acceso de IAM incluye la capacidad de gestionar roles personalizados, asignar políticas de acceso, gestionar valores de IAM, etc. Puede proteger todo el servicio o restringir un conjunto específico de acciones basándose en el contexto de la solicitud.
Restricción de la capacidad de gestionar roles personalizados en la consola
Puede proteger la capacidad de gestionar roles personalizados delimitando una regla con el tipo de recurso Role Management
. La creación de una regla que se circunscribe al tipo de recurso Role Management
protege las
acciones siguientes:
iam-access-management.customRole.create
iam-access-management.customRole.update
iam-access-management.customRole.delete
iam-access-management.customRole.read
Para configurar esta regla, seleccione el servicio de gestión de acceso de IAM, establezca el ámbito de la restricción en Recursos específicos > Tipo de recurso y, a continuación, seleccione Gestión de roles. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.
Para completar cualquier acción de gestión de roles, un usuario debe tener asignado el rol correcto con una política de acceso de IAM y debe satisfacer la regla de restricciones basada en contexto. Por ejemplo, un usuario con el rol de Visor
en el servicio de gestión de acceso de IAM puede completar la acción iam-access-management.customRole.read
si envía la solicitud desde la zona de red correcta y satisface la regla. Si el mismo usuario intenta crear un rol personalizado,
no puede completar esa solicitud aunque satisfaga la regla porque no es un administrador.
Restricción de la capacidad de gestionar políticas en la consola
Puede proteger la capacidad de gestionar políticas de IAM delimitando una regla con el tipo de recurso Policy Management
. La creación de una regla que se circunscribe al tipo de recurso Policy Management
protege las
acciones siguientes:
iam.delegationPolicy.create
iam.delegationPolicy.update
iam.policy.read
iam.policy.create
iam.policy.update
iam.policy.delete
Para configurar esta regla, establezca como destino el servicio de gestión de acceso de IAM, establezca el ámbito de la restricción en Recursos específicos > Tipo de recurso y, a continuación, seleccione Gestión de políticas. Para obtener más información, consulte Creación de reglas.
Para completar cualquier acción de gestión de políticas, un usuario debe tener asignado un rol en el servicio con una política de acceso de IAM y debe cumplir la regla de restricciones basadas en contexto. Por ejemplo, un usuario con el rol
de Visor en el servicio de gestión de acceso de IAM puede completar la acción iam.policy.read
si envía la solicitud desde la zona de red correcta y satisface la regla. Si el mismo usuario intenta crear una política, no puede
completar esa solicitud aunque satisfaga la regla porque no es un administrador.
Restricción de la capacidad de ver información en la consola
Puede proteger la capacidad de ver información, como los informes de identidades inactivas y políticas inactivas, delimitando una regla con el tipo de recurso insights
. La creación de una regla que se circunscribe al tipo de recurso
insights
protege las acciones siguientes:
iam-access-management.insight.get
Para configurar esta regla, seleccione como destino el servicio de gestión de acceso de IAM, establezca el ámbito de la restricción en Recursos específicos > Tipo de recurso y, a continuación, seleccione AM Insights. Para obtener más información, consulte Creación de reglas.
Para completar cualquier acción de valores, un usuario debe tener asignado el rol correcto con una política de acceso de IAM y debe satisfacer la regla de restricciones basadas en contexto. Por ejemplo, un usuario con el rol de Editor en el
servicio de gestión de acceso de IAM puede completar la acción iam-access-management.insight.get
si envía la solicitud desde la zona de red correcta y satisface la regla. Un usuario con el rol de visor no puede completar esa
solicitud aunque cumpla la regla porque no es un editor o administrador.
Restricción de la capacidad de gestionar roles personalizados utilizando la API
Puede proteger la capacidad de gestionar roles personalizados delimitando una regla con el tipo de recurso customRole
. La creación de una regla que se circunscribe al tipo de recurso customRole
protege las acciones
siguientes:
iam-access-management.customRole.create
iam-access-management.customRole.update
iam-access-management.customRole.delete
iam-access-management.customRole.read
El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de rol personalizadas:
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-access-management"
},
{
"name": "resourceType",
"value": "customRole"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
Para completar cualquier acción de gestión de roles, un usuario debe tener asignado el rol correcto con una política de acceso de IAM y debe satisfacer la regla de restricciones basadas en contexto. Por ejemplo, un usuario con el rol de Visor
en el servicio de gestión de acceso de IAM puede completar la acción iam-access-management.customRole.read
si envía la solicitud desde la zona de red correcta y satisface la regla. Si el mismo usuario intenta crear un rol personalizado,
no puede completar la solicitud aunque satisfaga la regla porque no es un administrador.
Restricción de la capacidad de gestionar políticas utilizando la API
Puede proteger la capacidad de gestionar políticas de IAM delimitando una regla con el tipo de recurso policy
. La creación de una regla que se circunscribe al tipo de recurso Policy Management
protege las acciones
siguientes:
iam.delegationPolicy.create
iam.delegationPolicy.update
iam.policy.read
iam.policy.create
iam.policy.update
iam.policy.delete
iam.service.read
iam.role.read
iam.role.assign
El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de política:
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-access-management"
},
{
"name": "resourceType",
"value": "policy"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
Restricción de la capacidad de ver información utilizando la API
Puede proteger la capacidad de ver información, como los informes de identidades inactivas y políticas inactivas, delimitando una regla con el tipo de recurso insights
. La creación de una regla que se circunscribe al tipo de recurso
insights
protege las acciones siguientes:
iam-access-management.insight.get
El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de política:
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "8293c49bc2724a07999910b1da94c4d6"
},
{
"name": "serviceName",
"value": "iam-access-management"
},
{
"name": "resourceType",
"value": "insight"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
Para completar cualquier acción de valores, un usuario debe tener asignado el rol correcto con una política de acceso de IAM y debe satisfacer la regla de restricciones basadas en contexto. Por ejemplo, un usuario con el rol de Editor en el
servicio de gestión de acceso de IAM puede completar la acción iam-access-management.insight.get
si envía la solicitud desde la zona de red correcta y satisface la regla. Un usuario con el rol de visor no puede completar esa
solicitud aunque cumpla la regla porque no es un editor o administrador.
Protección del servicio de identidad de IAM
El servicio de identidad de IAM incluye la posibilidad de ver, actualizar y suprimir ID de servicio, claves de API, proveedores de identidad (IdPs) y perfiles de confianza. También puede asignar acceso a los ID de servicio y perfiles de confianza. Todos los usuarios pueden crear ID de servicio, por lo que las acciones de servicio se aplican a los ID de servicio, las claves de API y los IdPs dentro de la cuenta creada por otros usuarios.
Puede proteger todo el servicio o restringir un conjunto específico de acciones basándose en el contexto de la solicitud. Para proteger sólo un conjunto específico de acciones, revise las secciones siguientes.
La API de señal de IAM no está sujeta a restricciones basadas en contexto. Las reglas que tienen como destino el servicio de identidad de IAM no se aplican en la API de señal. La API de señal utiliza un mecanismo diferente para establecer restricciones de dirección IP para los usuarios que inician sesión en una cuenta, durante la cual los usuarios adquirieron una señal. Para obtener más información, consulte Permitir direcciones IP específicas para una cuenta.
Restricción de la capacidad de gestionar los ID de servicio y sus claves de API en la consola
Puede proteger la capacidad de gestionar los ID de servicio y sus claves de API mediante el ámbito de una regla para el tipo de recurso serviceid
. La creación de una regla que se circunscribe al tipo de recurso serviceid
protege las acciones siguientes:
iam-identity.serviceid.get
iam-identity.serviceid.update
iam-identity.serviceid.delete
iam-identity.apikey.manage
iam-identity.apikey.get
iam-identity.apikey.list
iam-identity.apikey.create
iam-identity.apikey.update
iam-identity.apikey.delete
Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type
. A continuación,
especifique el valor serviceid
. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.
Restricción de la capacidad de gestionar los ID de servicio y sus claves de API utilizando la API
Puede proteger la capacidad de gestionar los ID de servicio y sus claves de API mediante el ámbito de una regla para el tipo de recurso serviceid
. La creación de una regla que se circunscribe al tipo de recurso serviceid
protege las acciones siguientes:
iam-identity.serviceid.get
iam-identity.serviceid.update
iam-identity.serviceid.delete
iam-identity.apikey.manage
iam-identity.apikey.get
iam-identity.apikey.list
iam-identity.apikey.create
iam-identity.apikey.update
iam-identity.apikey.delete
El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso serviceid
:
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "serviceid"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
Restricción de la capacidad de gestionar claves de API de usuario en la consola
Puede proteger la capacidad de gestionar claves de API de usuario delimitando una regla con el tipo de recurso apikey
. La creación de una regla que se circunscribe al tipo de recurso apikey
protege las acciones siguientes:
iam-identity.apikey.manage
iam-identity.apikey.get
iam-identity.apikey.list
iam-identity.apikey.create
iam-identity.apikey.update
iam-identity.apikey.delete
Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type
. A continuación,
especifique el valor apikey
. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.
Restricción de la capacidad de gestionar claves de API de usuario utilizando la API
Puede proteger la capacidad de gestionar claves de API de usuario delimitando una regla con el tipo de recurso apikey
. La creación de una regla que se circunscribe al tipo de recurso apikey
protege las acciones siguientes:
iam-identity.apikey.manage
iam-identity.apikey.get
iam-identity.apikey.list
iam-identity.apikey.create
iam-identity.apikey.update
iam-identity.apikey.delete
El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso apikey
:
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "apikey"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
Restricción de la capacidad de gestionar perfiles de confianza en la consola
Puede proteger la capacidad de gestionar perfiles de confianza delimitando una regla con el tipo de recurso profile
. La creación de una regla que se circunscribe al tipo de recurso profile
protege las acciones siguientes:
iam-identity.profile.create
iam-identity.profile.update
iam-identity.profile.delete
iam-identity.profile.get
iam-identity.profile.get_session
iam-identity.profile.revoke_session
iam-identity.profile.linkToResource
Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type
. A continuación,
especifique el valor profile
. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.
Restricción de la capacidad de gestionar perfiles de confianza utilizando la API
Puede proteger la capacidad de gestionar perfiles de confianza delimitando una regla con el tipo de recurso profile
. La creación de una regla que se circunscribe al tipo de recurso profile
protege las acciones siguientes:
iam-identity.profile.create
iam-identity.profile.update
iam-identity.profile.delete
iam-identity.profile.get
iam-identity.profile.get_session
iam-identity.profile.revoke_session
iam-identity.profile.linkToResource
El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso profile
:
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "profile"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
Restricción de la capacidad de gestionar valores de cuenta en la consola
Puede proteger la capacidad de gestionar valores de cuenta delimitando una regla con el tipo de recurso settings
. La creación de una regla que se circunscribe al tipo de recurso settings
protege las acciones siguientes:
iam-identity.account.get
iam-identity.account.create
iam-identity.account.update
iam-identity.account.create
iam-identity.account.update
iam-identity.account.enable_idp
iam-identity.account.disable_idp
iam-identity.account.delete
iam-identity.session.manage
Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type
. A continuación,
especifique el valor settings
. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.
Restricción de la capacidad de gestionar valores de cuenta utilizando la API
Puede proteger la capacidad de gestionar valores de cuenta delimitando una regla con el tipo de recurso settings
. La creación de una regla que se circunscribe al tipo de recurso settings
protege las acciones siguientes:
iam-identity.account.get
iam-identity.account.create
iam-identity.account.update
iam-identity.account.create
iam-identity.account.update
iam-identity.account.enable_idp
iam-identity.account.disable_idp
iam-identity.account.delete
iam-identity.session.manage
El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso settings
:
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "settings"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
Restricción de la capacidad de gestionar proveedores de identidad en la consola
Puede proteger la capacidad de gestionar proveedores de identidad (IdPs) delimitando una regla con el tipo de recurso idp
. La creación de una regla que se circunscribe al tipo de recurso ipd
protege las acciones siguientes:
iam-identity.idp.get
iam-identity.idp.list
iam-identity.idp.create
iam-identity.idp.update
iam-identity.idp.delete
iam-identity.idp.test
iam-identity.idp.metadata
Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type
. A continuación,
especifique el valor idp
. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.
Restricción de la capacidad de gestionar proveedores de identidad utilizando la API
Puede proteger la capacidad de gestionar proveedores de identidad (IdPs) delimitando una regla con el tipo de recurso idp
. La creación de una regla que se circunscribe al tipo de recurso idp
protege las acciones siguientes:
iam-identity.idp.get
iam-identity.idp.list
iam-identity.idp.create
iam-identity.idp.update
iam-identity.idp.delete
iam-identity.idp.test
iam-identity.idp.metadata
El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso idp
:
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "idp"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
Protección del servicio de gestión de usuarios
El servicio de gestión de usuarios incluye la posibilidad de ver usuarios en una cuenta, invitar y eliminar usuarios y ver y actualizar los valores de perfil de usuario. Puede crear una regla que proteja todas las acciones asociadas con este servicio.
El rol de visualizador en el servicio de Gestión de usuarios se asigna normalmente a los usuarios a los que se les ha asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.
Para configurar esta regla, seleccione como destino el servicio de gestión de usuarios. Para obtener más información sobre los pasos para configurar una regla en la consola, consulte Cómo se integra IAM con restricciones basadas en contexto.
El ejemplo siguiente muestra una regla en formato JSON que protege todas las acciones de user-management
:
{
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "user-management"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
}
Protección de todos los servicios de gestión de cuentas de IAM
Todos los servicios de gestión de cuentas de IAM es la agrupación de un subconjunto de servicios de gestión de cuentas, que incluye IAM Identity, IAM Access Management, IAM User Management y grupos de IAM. Puede crear una regla que proteja todas las acciones asociadas con estos servicios.
Para configurar esta regla, seleccione como destino Todos los servicios de gestión de cuentas de IAM. Para obtener más información sobre los pasos para configurar una regla en la consola, consulte Cómo se integra IAM con restricciones basadas en contexto.
El ejemplo siguiente muestra una regla en formato JSON que protege todas las acciones asociadas con la agrupación de servicios IAM
:
{
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
}