Creación y configuración de políticas y entidades de IAM

Cómo crear y configurar políticas y entidades de IAM para su uso con SP-API.

Los siguientes pasos explican cómo crear y configurar políticas y entidades de administración de acceso e identidad (IAM) con el objetivo final de crear un IAM role que proporciona cuando registra su aplicación. En este workflow, crea un usuario de IAM (con una política de AWS Security Token Service (AWS STS) adjunta) que asume un IAM role que tiene permisos para llamar a la Selling Partner API.

Paso 1. Crear una cuenta de Amazon Web Services (AWS)

Debe tener una cuenta de AWS porque el modelo de seguridad de la Selling Partner API utiliza credenciales de AWS authentication. Si aún no es cliente de AWS, puede crear una cuenta de AWS gratuita. Para obtener más información, consulte AWS Free Tier .

Paso 2. Crear un usuario de IAM

Cree un usuario de IAM para obtener claves de AWS para autenticar las llamadas a la Selling Partner API. Recomendamos crear un nuevo usuario de IAM exclusivamente para este propósito. Utilice el usuario de IAM para asumir el rol de IAM que creó en el paso 4. Cree un IAM Role .

  1. Inicie sesión en la AWS Management Console y luego abra la IAM console .
  2. En el panel de navegación izquierdo, elija Users y luego seleccione Add users .
  3. En la página Specify user details , ingrese un nombre de usuario.
  4. Elija Next .
  5. En la página Set permissions, acepte los valores predeterminados y luego elija Next . Establecerá los permisos cuando cree un IAM role .
  6. En la página Review and create , agregue las etiquetas deseadas en la sección tags .
  7. Elija Create user .
  8. En la columna User name , seleccione su nuevo usuario de IAM y vaya a la pestaña Security Credentials .
  9. En la sección Access keys, seleccione Create access key .
  10. En la Access key best practices & alternatives page , seleccione Other y, a continuación, seleccione Next.
  11. En la Set description tag (optional) , agregue cualquier etiqueta de descripción deseada y luego elija Create access key .
  12. En la página Retrieve access keys , elija Download.csv file para guardar AWS access key y la AWS secret access key y luego elija Done .

🚧

¡Importante!

Esta es su única oportunidad de ver o descargar su AWS secret access key, que debe usar para autenticar sus llamadas a la Selling Partner API. Guarde el AWS access key ID y la AWS secret access key en un lugar seguro.

No volverá a tener acceso a la AWS access key después de este paso.

Si pierde su AWS secret access key debe crear una nueva access key. Puede tener un máximo de dos access keys (activas o inactivas) a la vez. Para obtener más información sobre la gestión de access keys, consulte Managing access keys (console).

  1. En la columna User name , elija de nuevo su nuevo usuario de IAM y registre el ARN del usuario. Utilizará el ARN en el paso 4. Cree un IAM Role.

Para obtener más información sobre la creación de usuarios de IAM, consulte Creación de un usuario de IAM en su cuenta de AWS .

Paso 3. Crear una política de IAM

Esta política de IAM define los permisos necesarios para realizar llamadas a la Selling Partner API. Adjunte esta política al IAM role que creó en el paso 4. Cree un IAM Role.

Nota: si utiliza AWS Organizations para administrar sus cuentas de AWS, asegúrese de que su política de nivel de organización permita el acceso a la Selling Partner API. Para obtener más información, consulte Administración de políticas de AWS Organizations .

  1. Inicie sesión en la AWS Management Console,y luego abra la IAM console .

  2. En el panel de navegación izquierdo, elija Policies . Si es la primera vez que elige Policies , elija Get Started .

  3. Elija Create policy .

  4. Elija la pestaña JSON .

  5. Pegue este código en el cuadro de texto (reemplazando el código existente) y luego elija Next: Tags .

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "execute-api:Invoke",
      "Resource": "arn:aws:execute-api:*:*:*"
    }
  ]
}

  1. En la página Add tags (Optional) , agregue las etiquetas deseadas y luego elija Next: Review .
  2. En la página Review policy , asigne un nombre a su política SellingPartnerAPI y agregue una descripción opcional.
  3. Revise el Summary de la política y, a continuación, seleccione Create policy .

Para obtener más información, consulte Creating IAM Policies .

Paso 4. Crear un IAM role

Cree un IAM role que confíe en el usuario de IAM que creó en el paso 2. Cree un usuario de IAM y tenga permisos para llamar a la Selling Partner API.

  1. Inicie sesión en la AWS Management Console,y luego abra la IAM console .
  2. En el panel de navegación izquierdo, elija Roles y luego elija Create role .
  3. En la página Select trusted entity , elija AWS account y seleccione una de las siguientes según la cuenta utilizada para crear su IAM user en el paso 2. Cree un usuario de IAM:
  • Si creó su usuario de IAM en esta misma cuenta, elija This account .
  • Si creó su IAM user en una cuenta diferente, elija Another AWS account . En el cuadro Account ID , ingrese el identificador de la cuenta de AWS donde creó su IAM user en paso 2. Cree un usuario de IAM . El identificador de cuenta es el número de 12 dígitos en el User ARN.
  1. Elija Next .
  2. En la página Add permissions , en el cuadro de filtro, escriba 'SellingPartnerAPI', elija la política y luego elija Next .
  3. En la página Name, review, and create , ingrese un Role name en el cuadro Role name , una descripción role opcional en el cuadro Role description y luego elija Create role .
  4. En Role name , seleccione el nombre de su nueva función.

En la página Summary , guarde el role ARN. Debe tener el role ARN para las siguientes tareas:
a. Agregue una política de AWS STS a su usuario de IAM.
b. Registrando su Aplicación .

Para obtener más información, consulte Creación de un role para delegar permisos a un IAM user. .

Paso 5. Agregue una política de AWS STS a su usuario de IAM

Agregar una política AWS STS a su usuario de IAM le permite solicitar claves de acceso temporales de AWS que puede usar para autenticar sus solicitudes a la Selling Partner API. Estas credenciales caducan después de un período de tiempo determinado, lo que le ayuda a controlar el acceso a sus recursos de AWS.

  1. Inicie sesión en la AWS Management Console, y luego abra la IAM console .

  2. En el panel de navegación izquierdo, seleccione Users y luego elija el user que requiere la política de AWS STS. En este tutorial, elija el user que creó en el paso 2. Cree un usuario de IAM.

  3. En la pestaña Permissions , elija el drop-down Add permissions y elija Add inline policy.

  4. En la página Create policy, seleccione Choose a service .

  5. Elija el servicio STS .

    **Sugerencia**: Ingrese STS en el cuadro de búsqueda para filtrar sus resultados.
    
  6. En Actions , seleccione la flecha junto a Write .

  7. Elija AsumeRole .

  8. Seleccione la flecha junto a Resources y luego elija Add ARN .

  9. En el cuadro de diálogo Add ARN(s) , ingrese el role ARN del paso 4. Cree un IAM Role , elija Add y, a continuación, elija Review policy .

  10. En la página Review policy , ingrese un nombre para su política. Revise su configuración, luego elija Create policy.

Paso 6. (Opcional) Verifique que la política STS esté asociada a su IAM user o role

  1. Inicie sesión en la AWS Management Console,y luego abra la IAM console .
  2. Elija Users y, a continuación, seleccione su IAM user.
  3. Elija la pestaña Permissions , elija Add permissions y luego elija Add inline policy.
  4. En la página Create policy , seleccione la pestaña JSON y pegue el siguiente código en el cuadro de texto. Esta política otorga acceso a IAM para leer cualquier información relacionada con los IAM services.
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GenerateCredentialReport",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:Get*",
        "iam:List*",
        "iam:SimulateCustomPolicy",
        "iam:SimulatePrincipalPolicy"
      ],
      "Resource": "*"
    }
  ]
}
  1. Elija Review policy , asigne un nombre a la política (por ejemplo, PolíticaNueva) y elija Create policy .
  2. Abra AWS CloudShell y ejecute los siguientes comandos para verificar que la política esté asociada a su IAM user o role:
  • Recupere el documento de política en línea incrustado en el IAM user especificado:

aws iam get-user-policy --user-name Bob --policy-name ExamplePolicy

  • Enumere todas las políticas administradas adjuntas al IAM user especificado:

aws iam list-attached-user-policies --user-name Bob

  • Recuperar información sobre la política administrada especificada:

aws iam get-policy --policy-arn {{ARN of the policy}}

  • Recupere los detalles de la política para la política administrada (utilice el número de versión obtenido en el paso anterior):

aws iam get-policy-version --policy-arn {{ARN of the policy}} --version-id version number