IBM Cloud Docs
Protección de servicios de IAM con restricciones basadas en contexto

Protección de servicios de IAM con restricciones basadas en contexto

Las restricciones basadas en el contexto ofrecen a los propietarios y administradores de cuentas la posibilidad de definir y aplicar restricciones de acceso a los recursos de IBM Cloud® en función del contexto de las solicitudes de acceso. El acceso a los recursos de IAM se puede controlar con restricciones basadas en contexto y políticas de gestión de identidad y acceso (IAM). Como el acceso de IAM y las restricciones basadas en el contexto imponen el acceso, las restricciones basadas en el contexto ofrecen protección aunque las credenciales estén comprometidas o mal gestionadas. Para obtener más información, consulte Qué son las restricciones basadas en el contexto.

Estas restricciones funcionan con las políticas tradicionales de IAM, que se basan en la identidad, para proporcionar otra capa de protección. A diferencia de las políticas de IAM, las restricciones basadas en contexto no asignan el acceso. Las restricciones basadas en contexto comprueban que una solicitud de acceso provenga de un contexto permitido configurado.

Un usuario debe tener el rol de administrador en el servicio IAM específico que desea utilizar como destino para crear, actualizar o suprimir reglas. Un usuario también debe tener al menos el rol de Visor en el servicio de restricciones basadas en contexto para ver y añadir zonas de red a una regla. Los roles Editor o Administrador en el servicio de restricciones basadas en contexto otorgan a los usuarios acceso para crear, actualizar o suprimir zonas de red.

Cualquier IBM Cloud Activity Tracker o los sucesos de registro de auditoría generados proceden del servicio de restricciones basadas en contexto, no del servicio IAM. Para obtener más información, consulte Supervisión de restricciones basadas en contexto.

Para empezar a proteger los recursos de IAM con restricciones basadas en contexto, consulte la guía de aprendizaje de Cómo aprovechar las restricciones basadas en contexto para proteger los recursos.

Cómo se integra IAM con restricciones basadas en contexto

Para proteger un servicio de IAM específico o el grupo de todos los servicios de gestión de cuentas de IAM, realice los pasos siguientes:

  1. En la consola de IBM Cloud, haga clic en Administrar > Restricciones basadas en contexto y seleccione Reglas.
  2. Pulse Crear.
  3. Seleccione un servicio de IAM individual o la agrupación de todos los servicios de gestión de cuentas de IAM.
  4. A continuación, pulse Siguiente.
  5. Para proteger todo el servicio o grupo de servicios, limite la restricción a Todos los recursos.
  6. Para proteger sólo un conjunto específico de acciones, establezca el ámbito de la restricción en Recursos específicos.
    1. Seleccione un atributo y seleccione o especifique un valor. Para obtener más información sobre cómo restringir un conjunto específico de acciones, revise la sección correspondiente al servicio que ha establecido como destino en el paso 3.
  7. Pulse Revisar > Continuar.
  8. Añadir uno o más contextos. Seleccione los tipos de punto final y las zonas de red y, a continuación, pulse Añadir. Para obtener más información, consulte Creación de reglas.
  9. Pulse Continuar.
  10. Proporcione una descripción exclusiva.
  11. Seleccione cómo desea aplicar la regla. Puede decidir cómo desea imponer una regla al crearla y actualizar la aplicación de la regla en cualquier momento. Para obtener más información, consulte Imposición de reglas.

Supongamos que crea una regla que tiene como destino el servicio de grupos de acceso de IAM. Para completar cualquier acción de servicio de grupos de acceso de IAM, un usuario debe tener asignado el rol correcto con una política de acceso de IAM y debe cumplir la regla de restricciones basada en contexto. Por ejemplo, un usuario con el rol de Visor en el servicio de grupos de acceso de IAM puede completar la acción iam-groups.members.read si envía la solicitud desde la zona de red correcta y satisface la regla. Si el mismo usuario con el rol de Visor intenta añadir un miembro al grupo (iam-groups.members.add), no puede completar esa solicitud aunque satisfaga la regla porque no es un editor o administrador.

Para ver las acciones asociadas con un servicio, vaya a la página Roles en la consola de IBM Cloud®.

Cómo se integra IAM con restricciones basadas en contexto

Para proteger un servicio de IAM específico o el grupo de todos los servicios de gestión de cuentas de IAM, utilice los atributos siguientes para crear la regla:

Pares nombre-valor de los atributos que identifican un servicio
Servicio Nombre Valor
Servicio de grupos de acceso de IAM serviceName iam-groups
Servicio de gestión de acceso de IAM serviceName iam-access-management
Servicio de identidad IAM serviceName iam-identity
Servicio de gestión de usuarios serviceName user-management
Todos los servicios de gestión de cuentas de IAM service_group_id IAM

Para proteger todas las acciones asociadas con el servicio, cree una regla sin delimitar su ámbito a recursos o API específicos. Para obtener más información, consulte Creación de reglas. Para proteger sólo un conjunto específico de acciones, revise las secciones siguientes, que están enlazadas en la Tabla 1.

Protección del servicio de grupos de acceso de IAM

El servicio de grupos de acceso de IAM incluye la posibilidad de crear, editar y suprimir grupos de acceso. Las prestaciones se amplían para añadir o eliminar usuarios de grupos, asignar acceso al grupo y gestionar el acceso para que otros trabajen con grupos de acceso. Puede proteger todo el servicio, que incluye todas las acciones asociadas con el servicio.

Restricción de la capacidad de gestionar un grupo de acceso específico

Puede proteger la capacidad de gestionar un grupo de acceso específico delimitando una regla con el atributo Resource ID. La creación de una regla que se circunscribe al atributo Resource ID protege todas las acciones asociadas con el servicio para ese grupo de acceso específico.

Para configurar esta regla, establezca como destino el servicio de grupos de acceso de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource ID. A continuación, especifique el ID del grupo de acceso que desea proteger. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.

Para encontrar el ID del grupo de acceso, vaya a Administrar > Acceso (IAM) > Grupos de acceso. Pulse el grupo de acceso que desea proteger en la regla. A continuación, pulse Detalles. El valor que desea empieza por AccessGroupId.

Restricción de la capacidad de gestionar un grupo de acceso específico utilizando la API

Puede proteger la capacidad de gestionar un grupo de acceso específico delimitando una regla con el atributo resource. La creación de una regla que se circunscribe al atributo resource protege todas las acciones asociadas con el servicio para ese grupo de acceso específico.

El ejemplo siguiente muestra una regla en formato JSON que protege un grupo de acceso específico:

{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "serviceName",
					"value": "iam-groups"
				},
				{
					"name": "resource",
					"value": "AccessGroupId1234",
					"operator": "stringEquals"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}

Para buscar el ID de grupo de acceso, utilice el método Listar grupos de acceso.

Protección del servicio de gestión de acceso de IAM

El servicio de gestión de acceso de IAM incluye la capacidad de gestionar roles personalizados, asignar políticas de acceso, gestionar valores de IAM, etc. Puede proteger todo el servicio o restringir un conjunto específico de acciones basándose en el contexto de la solicitud.

Restricción de la capacidad de gestionar roles personalizados en la consola

Puede proteger la capacidad de gestionar roles personalizados delimitando una regla con el tipo de recurso Role Management. La creación de una regla que se circunscribe al tipo de recurso Role Management protege las acciones siguientes:

  • iam-access-management.customRole.create
  • iam-access-management.customRole.update
  • iam-access-management.customRole.delete
  • iam-access-management.customRole.read

Para configurar esta regla, seleccione el servicio de gestión de acceso de IAM, establezca el ámbito de la restricción en Recursos específicos > Tipo de recurso y, a continuación, seleccione Gestión de roles. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.

Para completar cualquier acción de gestión de roles, un usuario debe tener asignado el rol correcto con una política de acceso de IAM y debe satisfacer la regla de restricciones basada en contexto. Por ejemplo, un usuario con el rol de Visor en el servicio de gestión de acceso de IAM puede completar la acción iam-access-management.customRole.read si envía la solicitud desde la zona de red correcta y satisface la regla. Si el mismo usuario intenta crear un rol personalizado, no puede completar esa solicitud aunque satisfaga la regla porque no es un administrador.

Restricción de la capacidad de gestionar políticas en la consola

Puede proteger la capacidad de gestionar políticas de IAM delimitando una regla con el tipo de recurso Policy Management. La creación de una regla que se circunscribe al tipo de recurso Policy Management protege las acciones siguientes:

  • iam.delegationPolicy.create
  • iam.delegationPolicy.update
  • iam.policy.read
  • iam.policy.create
  • iam.policy.update
  • iam.policy.delete

Para configurar esta regla, establezca como destino el servicio de gestión de acceso de IAM, establezca el ámbito de la restricción en Recursos específicos > Tipo de recurso y, a continuación, seleccione Gestión de políticas. Para obtener más información, consulte Creación de reglas.

Para completar cualquier acción de gestión de políticas, un usuario debe tener asignado un rol en el servicio con una política de acceso de IAM y debe cumplir la regla de restricciones basadas en contexto. Por ejemplo, un usuario con el rol de Visor en el servicio de gestión de acceso de IAM puede completar la acción iam.policy.read si envía la solicitud desde la zona de red correcta y satisface la regla. Si el mismo usuario intenta crear una política, no puede completar esa solicitud aunque satisfaga la regla porque no es un administrador.

Restricción de la capacidad de ver información en la consola

Puede proteger la capacidad de ver información, como los informes de identidades inactivas y políticas inactivas, delimitando una regla con el tipo de recurso insights. La creación de una regla que se circunscribe al tipo de recurso insights protege las acciones siguientes:

  • iam-access-management.insight.get

Para configurar esta regla, seleccione como destino el servicio de gestión de acceso de IAM, establezca el ámbito de la restricción en Recursos específicos > Tipo de recurso y, a continuación, seleccione AM Insights. Para obtener más información, consulte Creación de reglas.

Para completar cualquier acción de valores, un usuario debe tener asignado el rol correcto con una política de acceso de IAM y debe satisfacer la regla de restricciones basadas en contexto. Por ejemplo, un usuario con el rol de Editor en el servicio de gestión de acceso de IAM puede completar la acción iam-access-management.insight.get si envía la solicitud desde la zona de red correcta y satisface la regla. Un usuario con el rol de visor no puede completar esa solicitud aunque cumpla la regla porque no es un editor o administrador.

Restricción de la capacidad de gestionar roles personalizados utilizando la API

Puede proteger la capacidad de gestionar roles personalizados delimitando una regla con el tipo de recurso customRole. La creación de una regla que se circunscribe al tipo de recurso customRole protege las acciones siguientes:

  • iam-access-management.customRole.create
  • iam-access-management.customRole.update
  • iam-access-management.customRole.delete
  • iam-access-management.customRole.read

El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de rol personalizadas:

{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "serviceName",
					"value": "iam-access-management"
				},
				{
					"name": "resourceType",
					"value": "customRole"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}

Para completar cualquier acción de gestión de roles, un usuario debe tener asignado el rol correcto con una política de acceso de IAM y debe satisfacer la regla de restricciones basadas en contexto. Por ejemplo, un usuario con el rol de Visor en el servicio de gestión de acceso de IAM puede completar la acción iam-access-management.customRole.read si envía la solicitud desde la zona de red correcta y satisface la regla. Si el mismo usuario intenta crear un rol personalizado, no puede completar la solicitud aunque satisfaga la regla porque no es un administrador.

Restricción de la capacidad de gestionar políticas utilizando la API

Puede proteger la capacidad de gestionar políticas de IAM delimitando una regla con el tipo de recurso policy. La creación de una regla que se circunscribe al tipo de recurso Policy Management protege las acciones siguientes:

  • iam.delegationPolicy.create
  • iam.delegationPolicy.update
  • iam.policy.read
  • iam.policy.create
  • iam.policy.update
  • iam.policy.delete
  • iam.service.read
  • iam.role.read
  • iam.role.assign

El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de política:

{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "serviceName",
					"value": "iam-access-management"
				},
				{
					"name": "resourceType",
					"value": "policy"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}

Restricción de la capacidad de ver información utilizando la API

Puede proteger la capacidad de ver información, como los informes de identidades inactivas y políticas inactivas, delimitando una regla con el tipo de recurso insights. La creación de una regla que se circunscribe al tipo de recurso insights protege las acciones siguientes:

  • iam-access-management.insight.get

El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de política:

{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "8293c49bc2724a07999910b1da94c4d6"
				},
				{
					"name": "serviceName",
					"value": "iam-access-management"
				},
				{
					"name": "resourceType",
					"value": "insight"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}

Para completar cualquier acción de valores, un usuario debe tener asignado el rol correcto con una política de acceso de IAM y debe satisfacer la regla de restricciones basadas en contexto. Por ejemplo, un usuario con el rol de Editor en el servicio de gestión de acceso de IAM puede completar la acción iam-access-management.insight.get si envía la solicitud desde la zona de red correcta y satisface la regla. Un usuario con el rol de visor no puede completar esa solicitud aunque cumpla la regla porque no es un editor o administrador.

Protección del servicio de identidad de IAM

El servicio de identidad de IAM incluye la posibilidad de ver, actualizar y suprimir ID de servicio, claves de API, proveedores de identidad (IdPs) y perfiles de confianza. También puede asignar acceso a los ID de servicio y perfiles de confianza. Todos los usuarios pueden crear ID de servicio, por lo que las acciones de servicio se aplican a los ID de servicio, las claves de API y los IdPs dentro de la cuenta creada por otros usuarios.

Puede proteger todo el servicio o restringir un conjunto específico de acciones basándose en el contexto de la solicitud. Para proteger sólo un conjunto específico de acciones, revise las secciones siguientes.

La API de señal de IAM no está sujeta a restricciones basadas en contexto. Las reglas que tienen como destino el servicio de identidad de IAM no se aplican en la API de señal. La API de señal utiliza un mecanismo diferente para establecer restricciones de dirección IP para los usuarios que inician sesión en una cuenta, durante la cual los usuarios adquirieron una señal. Para obtener más información, consulte Permitir direcciones IP específicas para una cuenta.

Restricción de la capacidad de gestionar los ID de servicio y sus claves de API en la consola

Puede proteger la capacidad de gestionar los ID de servicio y sus claves de API mediante el ámbito de una regla para el tipo de recurso serviceid. La creación de una regla que se circunscribe al tipo de recurso serviceid protege las acciones siguientes:

  • iam-identity.serviceid.get
  • iam-identity.serviceid.update
  • iam-identity.serviceid.delete
  • iam-identity.apikey.manage
  • iam-identity.apikey.get
  • iam-identity.apikey.list
  • iam-identity.apikey.create
  • iam-identity.apikey.update
  • iam-identity.apikey.delete

Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type. A continuación, especifique el valor serviceid. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.

Restricción de la capacidad de gestionar los ID de servicio y sus claves de API utilizando la API

Puede proteger la capacidad de gestionar los ID de servicio y sus claves de API mediante el ámbito de una regla para el tipo de recurso serviceid. La creación de una regla que se circunscribe al tipo de recurso serviceid protege las acciones siguientes:

  • iam-identity.serviceid.get
  • iam-identity.serviceid.update
  • iam-identity.serviceid.delete
  • iam-identity.apikey.manage
  • iam-identity.apikey.get
  • iam-identity.apikey.list
  • iam-identity.apikey.create
  • iam-identity.apikey.update
  • iam-identity.apikey.delete

El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso serviceid :

{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "serviceName",
					"value": "iam-identity"
				},
				{
					"name": "resourceType",
					"value": "serviceid"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}

Restricción de la capacidad de gestionar claves de API de usuario en la consola

Puede proteger la capacidad de gestionar claves de API de usuario delimitando una regla con el tipo de recurso apikey. La creación de una regla que se circunscribe al tipo de recurso apikey protege las acciones siguientes:

  • iam-identity.apikey.manage
  • iam-identity.apikey.get
  • iam-identity.apikey.list
  • iam-identity.apikey.create
  • iam-identity.apikey.update
  • iam-identity.apikey.delete

Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type. A continuación, especifique el valor apikey. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.

Restricción de la capacidad de gestionar claves de API de usuario utilizando la API

Puede proteger la capacidad de gestionar claves de API de usuario delimitando una regla con el tipo de recurso apikey. La creación de una regla que se circunscribe al tipo de recurso apikey protege las acciones siguientes:

  • iam-identity.apikey.manage
  • iam-identity.apikey.get
  • iam-identity.apikey.list
  • iam-identity.apikey.create
  • iam-identity.apikey.update
  • iam-identity.apikey.delete

El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso apikey :

{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "serviceName",
					"value": "iam-identity"
				},
				{
					"name": "resourceType",
					"value": "apikey"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}

Restricción de la capacidad de gestionar perfiles de confianza en la consola

Puede proteger la capacidad de gestionar perfiles de confianza delimitando una regla con el tipo de recurso profile. La creación de una regla que se circunscribe al tipo de recurso profile protege las acciones siguientes:

  • iam-identity.profile.create
  • iam-identity.profile.update
  • iam-identity.profile.delete
  • iam-identity.profile.get
  • iam-identity.profile.get_session
  • iam-identity.profile.revoke_session
  • iam-identity.profile.linkToResource

Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type. A continuación, especifique el valor profile. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.

Restricción de la capacidad de gestionar perfiles de confianza utilizando la API

Puede proteger la capacidad de gestionar perfiles de confianza delimitando una regla con el tipo de recurso profile. La creación de una regla que se circunscribe al tipo de recurso profile protege las acciones siguientes:

  • iam-identity.profile.create
  • iam-identity.profile.update
  • iam-identity.profile.delete
  • iam-identity.profile.get
  • iam-identity.profile.get_session
  • iam-identity.profile.revoke_session
  • iam-identity.profile.linkToResource

El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso profile :

{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "serviceName",
					"value": "iam-identity"
				},
				{
					"name": "resourceType",
					"value": "profile"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}

Restricción de la capacidad de gestionar valores de cuenta en la consola

Puede proteger la capacidad de gestionar valores de cuenta delimitando una regla con el tipo de recurso settings. La creación de una regla que se circunscribe al tipo de recurso settings protege las acciones siguientes:

  • iam-identity.account.get
  • iam-identity.account.create
  • iam-identity.account.update
  • iam-identity.account.create
  • iam-identity.account.update
  • iam-identity.account.enable_idp
  • iam-identity.account.disable_idp
  • iam-identity.account.delete
  • iam-identity.session.manage

Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type. A continuación, especifique el valor settings. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.

Restricción de la capacidad de gestionar valores de cuenta utilizando la API

Puede proteger la capacidad de gestionar valores de cuenta delimitando una regla con el tipo de recurso settings. La creación de una regla que se circunscribe al tipo de recurso settings protege las acciones siguientes:

  • iam-identity.account.get
  • iam-identity.account.create
  • iam-identity.account.update
  • iam-identity.account.create
  • iam-identity.account.update
  • iam-identity.account.enable_idp
  • iam-identity.account.disable_idp
  • iam-identity.account.delete
  • iam-identity.session.manage

El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso settings :

{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "serviceName",
					"value": "iam-identity"
				},
				{
					"name": "resourceType",
					"value": "settings"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}

Restricción de la capacidad de gestionar proveedores de identidad en la consola

Puede proteger la capacidad de gestionar proveedores de identidad (IdPs) delimitando una regla con el tipo de recurso idp. La creación de una regla que se circunscribe al tipo de recurso ipd protege las acciones siguientes:

  • iam-identity.idp.get
  • iam-identity.idp.list
  • iam-identity.idp.create
  • iam-identity.idp.update
  • iam-identity.idp.delete
  • iam-identity.idp.test
  • iam-identity.idp.metadata

Para configurar esta regla, establezca como destino el servicio de identidad de IAM, establezca el ámbito de la regla en Recursos específicos y seleccione el atributo Resource type. A continuación, especifique el valor idp. Para obtener más información sobre los pasos para configurar una regla, consulte Cómo se integra IAM con restricciones basadas en contexto.

Restricción de la capacidad de gestionar proveedores de identidad utilizando la API

Puede proteger la capacidad de gestionar proveedores de identidad (IdPs) delimitando una regla con el tipo de recurso idp. La creación de una regla que se circunscribe al tipo de recurso idp protege las acciones siguientes:

  • iam-identity.idp.get
  • iam-identity.idp.list
  • iam-identity.idp.create
  • iam-identity.idp.update
  • iam-identity.idp.delete
  • iam-identity.idp.test
  • iam-identity.idp.metadata

El ejemplo siguiente muestra una regla en formato JSON que protege las acciones de tipo de recurso idp :

{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "serviceName",
					"value": "iam-identity"
				},
				{
					"name": "resourceType",
					"value": "idp"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}

Protección del servicio de gestión de usuarios

El servicio de gestión de usuarios incluye la posibilidad de ver usuarios en una cuenta, invitar y eliminar usuarios y ver y actualizar los valores de perfil de usuario. Puede crear una regla que proteja todas las acciones asociadas con este servicio.

El rol de visualizador en el servicio de Gestión de usuarios se asigna normalmente a los usuarios a los que se les ha asignado un rol para ver o gestionar casos de soporte. Si un propietario de cuenta restringe la visibilidad de la lista de usuarios en los valores de IAM, los usuarios no podrán ver los casos de soporte abiertos por otros usuarios en la cuenta. Sin embargo, si se les asigna el rol de visor para el servicio de gestión de usuarios, el valor de visibilidad de la lista de usuarios no afecta a su capacidad para ver casos en la cuenta.

Para configurar esta regla, seleccione como destino el servicio de gestión de usuarios. Para obtener más información sobre los pasos para configurar una regla en la consola, consulte Cómo se integra IAM con restricciones basadas en contexto.

El ejemplo siguiente muestra una regla en formato JSON que protege todas las acciones de user-management :

{
{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "serviceName",
					"value": "user-management"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}
}

Protección de todos los servicios de gestión de cuentas de IAM

Todos los servicios de gestión de cuentas de IAM es la agrupación de un subconjunto de servicios de gestión de cuentas, que incluye IAM Identity, IAM Access Management, IAM User Management y grupos de IAM. Puede crear una regla que proteja todas las acciones asociadas con estos servicios.

Para configurar esta regla, seleccione como destino Todos los servicios de gestión de cuentas de IAM. Para obtener más información sobre los pasos para configurar una regla en la consola, consulte Cómo se integra IAM con restricciones basadas en contexto.

El ejemplo siguiente muestra una regla en formato JSON que protege todas las acciones asociadas con la agrupación de servicios IAM :

{
{
	"resources": [
		{
			"attributes": [
				{
					"name": "accountId",
					"value": "alphanumericAccoutnID"
				},
				{
					"name": "service_group_id",
					"value": "IAM"
				}
			]
		}
	],
	"description": "",
	"contexts": [],
	"enforcement_mode": "enabled"
}
}