# Delegación temporal de IAM
## Descripción general
La delegación temporal acelera la incorporación y simplifica la administración de los productos de Amazon y los socios de AWS que se integran con sus cuentas de AWS. En lugar de configurar manualmente varios servicios de AWS, puede delegar permisos temporales limitados que permitan al proveedor del producto completar las tareas de configuración en su nombre en cuestión de minutos mediante flujos de trabajo de implementación automatizados. Mantiene el control administrativo con los requisitos de aprobación y los límites de permisos, mientras que los permisos del proveedor del producto vencen automáticamente una vez transcurrido el periodo aprobado sin necesidad de limpiarlos manualmente. Si el producto requiere acceso continuo para las operaciones en curso, el proveedor puede utilizar la delegación temporal para crear un rol de IAM con un límite de permisos que defina los permisos máximos del rol. Toda la actividad del proveedor del producto se rastrea a través de AWS CloudTrail para supervisar el cumplimiento y la seguridad.
**nota**
Solo los productos de Amazon y los socios de AWS cualificados que hayan completado el proceso de incorporación de características pueden crear solicitudes de delegación temporal. Los clientes revisan y aprueban estas solicitudes, pero no pueden crearlas directamente. Si es un socio de AWS que desea integrar la delegación temporal de IAM en su producto, consulte la [Guía de integración de socios](access_policies-temporary-delegation-partner-guide.md) para obtener instrucciones de incorporación e integración.
## Cómo funciona la delegación temporal
La delegación temporal permite a Amazon y los socios de AWS solicitar acceso temporal limitado a su cuenta. Tras su aprobación, pueden usar los permisos delegados para tomar medidas en su nombre. Las solicitudes de delegación definen los permisos específicos para los servicios de AWS y las acciones que el proveedor del producto necesita para implementar o configurar los recursos en su cuenta de AWS. Estos permisos solo están disponibles durante un tiempo limitado y vencen automáticamente una vez transcurrido el tiempo especificado en la solicitud.
**nota**
La duración máxima para el acceso delegado es de 12 horas. Sin embargo, los usuarios raíz solo pueden aprobar las solicitudes de delegación con una duración igual o inferior a 4 horas. Si una solicitud especifica más de 4 horas, debe usar una identidad que no sea raíz para aprobarla. Para obtener más información, consulte [Funcionalidad beta de simulación de permisos](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation).
Para las tareas en curso, como la lectura de un bucket de Amazon S3, las solicitudes de delegación pueden incluir la creación de un rol de IAM que permita el acceso continuado a los recursos y las acciones una vez que venza el acceso temporal. Los proveedores de productos deben adjuntar un límite de permisos a cualquier rol de IAM creado mediante la delegación temporal. Los límites de permisos limitan los permisos máximos de un rol, pero no los conceden por sí solos. Puede revisar el límite de permisos como parte de la solicitud antes de aprobarla. Para obtener más información, consulte [Límites de permisos](access_policies_boundaries.md).
El proceso funciona de la siguiente manera:
1. Inicia sesión en un producto de Amazon o de un socio de AWS para integrarlo con su entorno de AWS.
1. El proveedor del producto inicia una solicitud de delegación en su nombre y lo redirige a la Consola de administración de AWS.
1. Usted revisa los permisos solicitados y determina si debe aprobar, denegar o reenviar la solicitud a su administrador.
1. Una vez que usted o su administrador aprueben la solicitud, el proveedor del producto puede obtener las credenciales temporales del aprobador para llevar a cabo las tareas necesarias.
1. El acceso del proveedor del producto vence automáticamente una vez transcurrido el periodo de tiempo especificado. Sin embargo, cualquier rol de IAM creado a través de la solicitud de delegación temporal perdura más allá de este periodo, lo que permite al proveedor del producto seguir accediendo a los recursos y las acciones para las tareas de administración en curso.
![\[alt text not found\]](http://docs.aws.amazon.com/es_es/IAM/latest/UserGuide/images/delegation-flow.png)
**nota**
Solo puede delegar permisos en un proveedor de productos si tiene permisos para los servicios y las acciones que se incluyen en la solicitud de delegación temporal. Si no tiene acceso a los servicios y acciones solicitados, el proveedor del producto no recibirá estos permisos cuando apruebe la solicitud.
Si la comprobación de permisos indica que es probable que se complete correctamente, puede aprobar la solicitud de delegación temporal y continuar con el flujo de trabajo.
Si la comprobación de permisos indica que es posible que no tenga permisos suficientes, reenvíe la solicitud a su administrador para que la apruebe. Le recomendamos que notifique esta solicitud al administrador mediante el método que prefiera, como un correo electrónico o un ticket.
Cuando el administrador apruebe la solicitud, lo que suceda a continuación dependerá de la configuración del proveedor del producto:
+ Si el proveedor del producto solicitó acceso inmediato, recibirá automáticamente los permisos temporales y comenzará la duración del acceso.
+ Si el proveedor del producto solicitó la liberación por parte del propietario (destinatario inicial), debe volver a la solicitud para compartir de forma explícita acceso temporal a la cuenta antes de que comience la duración del acceso. Los proveedores de productos suelen utilizar esta opción cuando necesitan información adicional de su parte, como la selección de recursos o los detalles de configuración, para completar la tarea requerida.
# Inicio de una solicitud de delegación temporal
Solo puede iniciar una solicitud de delegación temporal desde los productos compatibles de Amazon o de los socios de AWS. Durante un flujo de trabajo que permita la delegación temporal, se le pedirá que conceda al proveedor del producto permisos temporales limitados para configurar los recursos necesarios de AWS en su cuenta. Este enfoque automatizado proporciona una experiencia más simplificada al eliminar la necesidad de configurar estos recursos manualmente.
Puede revisar los detalles de la solicitud de delegación, como los roles de IAM, las políticas y los servicios de AWS específicos que el proveedor del producto necesita antes de conceder el acceso. Puede aprobar la solicitud usted mismo si dispone de los permisos suficientes o reenviarla al administrador de su cuenta para su aprobación. Todos los accesos de los proveedores de productos tienen un límite de tiempo y pueden supervisarse y revocarse según sea necesario.
**Inicio de una solicitud de delegación temporal**
1. Acceda a la consola de un producto compatible de Amazon o de los socios de AWS que requiera la integración con su cuenta de AWS.
1. Seleccione *Implementar con la delegación temporal de IAM*. Tenga en cuenta que el nombre de la opción puede variar según los productos compatibles. Consulte la documentación del proveedor del producto para obtener más información.
**nota**
Si aún no inició sesión en la Consola de administración de AWS, se abrirá una nueva ventana con la página de inicio de sesión de AWS. Le recomendamos que inicie sesión en su cuenta de AWS antes de iniciar la solicitud de delegación temporal desde la consola del producto. Para obtener más información sobre cómo iniciar sesión en función del tipo de usuario y los recursos de AWS a los que desea acceder, consulte la [Guía del usuario de Inicio de sesión en AWS](docs---aws.amazon.com.rproxy.govskope.casignin/latest/userguide/what-is-sign-in.html).
1. Revise los detalles de la solicitud para confirmar el nombre del producto y la cuenta de AWS del proveedor del producto. También puede revisar la identidad de AWS que el proveedor del producto utilizará para llevar a cabo acciones en su nombre.
1. Revise *Detalles de acceso* para ver los permisos que se delegarán temporalmente al aprobar esta solicitud.
+ En la sección *Resumen de permisos* se proporciona una descripción general de alto nivel generada mediante IA que puede ayudarlo a entender a qué categorías de servicios de AWS se puede acceder y qué tipos de acciones se pueden llevar a cabo en cada servicio.
+ Seleccione *Ver JSON* para revisar los permisos específicos que el proveedor del producto debe implementar en su cuenta de AWS, incluidos el alcance del acceso y las limitaciones de recursos.
+ Si el proveedor del producto crea un rol de IAM como parte de una solicitud de delegación temporal, se debe adjuntar un límite de permisos al rol. Estos roles de IAM tienen permisos que siguen permitiendo el acceso a los recursos y las acciones una vez transcurrido el periodo de acceso solicitado. Seleccione *Ver detalles* para revisar el límite de permisos, que define los permisos máximos que puede tener el rol. El proveedor del producto aplicará políticas adicionales al rol durante la creación que definirán sus permisos reales. Estas políticas pueden parecer más específicas o más amplias que el límite, según cómo las defina el proveedor del producto. Sin embargo, el límite de permisos garantiza que los permisos efectivos del rol nunca superarán los que se ven durante la aprobación de la solicitud, independientemente de las políticas adjuntas al rol. Para obtener más información, consulte [Límites de permisos](access_policies_boundaries.md).
1. Revise los resultados de la simulación de permisos. La funcionalidad de simulación de permisos evalúa automáticamente los permisos de su identidad comparándolos con los incluidos en la solicitud. En función de este análisis, se muestra una recomendación en la que se indica si se debe aprobar la solicitud con su identidad actual o reenviarla a un administrador. Para obtener más información, consulte [Funcionalidad beta de simulación de permisos](#temporary-delegation-permission-simulation).
1. En el cuadro de diálogo, seleccione cómo quiere proceder.
+ Seleccione *Permitir acceso* cuando su identidad tenga los permisos suficientes para que el proveedor del producto pueda llevar a cabo los procedimientos de incorporación en su nombre. Al seleccionar esta opción, la duración del acceso del proveedor del producto comienza en cuanto proporciona acceso.
+ Seleccione *Solicitar aprobación* si su identidad no tiene los permisos suficientes para que el proveedor del producto pueda llevar a cabo los procedimientos de incorporación en su nombre. A continuación, seleccione *Crear solicitud de aprobación*. Al seleccionar esta opción, se crea un enlace de solicitud de delegación temporal que puede compartir con el administrador de su cuenta. El administrador puede acceder a la Consola de administración de AWS o utilizar el enlace de acceso para revisar las solicitudes de delegación temporal a fin de aprobarlas y compartir el acceso temporal con el solicitante.
**nota**
Conceder acceso al proveedor del producto requiere dos acciones: aceptar la solicitud de delegación (`AcceptDelegationRequest`) y liberar el token de intercambio (`SendDelegatedToken`). La Consola de administración de AWS lleva a cabo ambos pasos automáticamente al aprobar una solicitud. Si utiliza la AWS CLI o la API, debe ejecutar ambos pasos por separado.
## Funcionalidad de simulación de permisos (beta)
Cuando reciba una solicitud de delegación temporal, puede aprobarla usted mismo o reenviarla al administrador de su cuenta para su aprobación. Solo puede delegar permisos en un proveedor de productos si tiene permisos para los servicios y las acciones que se incluyen en la solicitud de delegación temporal. Si no tiene acceso a los servicios y acciones solicitados, el proveedor del producto no recibirá esos permisos aunque estén incluidos en la solicitud.
Por ejemplo, una solicitud de delegación temporal requiere la capacidad de crear un bucket de Amazon S3, iniciar y detener instancias en Amazon EC2 y asumir un rol de IAM. La identidad que aprueba la solicitud puede iniciar y detener instancias en Amazon EC2 y asumir un rol de IAM, pero no tiene permiso para crear un bucket de Amazon S3. Cuando esta identidad aprueba la solicitud, el proveedor del producto no puede crear un bucket de Amazon S3 a pesar de que estos permisos se incluyeron en la solicitud de delegación temporal.
Como solo puede delegar los permisos que ya posee, es fundamental evaluar si tiene los permisos solicitados antes de aprobarlos. La funcionalidad beta de simulación de permisos ayuda durante esta evaluación, ya que compara sus permisos con los incluidos en la solicitud. La evaluación indica si puede aprobar la solicitud con su identidad actual o si necesita reenviarla a un administrador. Si el análisis no puede validar que tiene permisos suficientes, reenvíe la solicitud a un administrador para que la revise. Esta evaluación se basa en un análisis de permisos simulado y puede diferir del entorno de AWS en vivo, por lo que debe revisar detenidamente los permisos solicitados antes de continuar.
## Siguientes pasos
Tras iniciar una solicitud de delegación temporal, puede administrar y supervisar la solicitud durante todo su ciclo de vida. Los siguientes procedimientos lo ayudan a hacer un seguimiento del acceso temporal, aprobarlo y controlarlo:
+ [Revisión de las solicitudes de delegación temporal](temporary-delegation-review-requests.md): supervise el estado de sus solicitudes de acceso y consulte información detallada sobre las solicitudes para aprobar o denegar las solicitudes de delegación temporal.
+ [Revocación del acceso a la delegación temporal](temporary-delegation-revoke-access.md): termine inmediatamente las sesiones de delegación temporal activas antes de que venzan de forma natural.
# Revisión de solicitudes de delegación temporal
Tras iniciar una solicitud de delegación temporal, puede supervisar, aprobar y rechazar las solicitudes en la consola de IAM. En la página Solicitudes de delegación temporal se proporciona una vista centralizada de todas las solicitudes, incluidas las que están pendientes de aprobación, completadas o rechazadas. Como administrador, puede revisar estas solicitudes para conceder a los proveedores de productos acceso a los recursos de AWS o rechazarlas en función de las políticas de seguridad, los requisitos empresariales o los estándares de cumplimiento de su organización. Esta visibilidad lo ayuda a hacer un seguimiento del ciclo de vida del acceso de los proveedores de productos y a supervisar los permisos temporales.
**nota**
Debe tener el permiso iam:AcceptDelegationRequest para aprobar las solicitudes de delegación temporal.
**Aprobación de una solicitud de delegación temporal**
1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.
1. En el panel de navegación que se muestra a la izquierda, seleccione *Solicitudes de delegación temporal*.
1. En la página principal se muestra una lista de las solicitudes de delegación temporal con la siguiente información:
+ *ID de solicitud*: identificador único de la solicitud
+ *Estado*: estado actual (Pendiente, Aprobada, Rechazada, Compartida, Vencida)
+ *Solicitante*: proveedor del producto asociado a la solicitud
+ *Iniciada por*: entidad principal de IAM de la cuenta que inició la solicitud para el proveedor del producto
+ *Solicitud creada*: cuándo se envió la solicitud
+ *Vencimiento de la solicitud*: cuándo venció o vencerá la solicitud
1. (Opcional) Utilice las opciones de filtro para ver las solicitudes por estado:
+ *Todas las solicitudes*: consulte todas sus solicitudes, independientemente del estado.
+ *Pendientes*: consulte las solicitudes en espera de la aprobación del administrador.
+ *Aprobadas*: consulte las solicitudes aprobadas.
+ *Compartidas*: consulte las solicitudes para las que se compartió el acceso.
+ *Rechazadas*: consulte las solicitudes rechazadas con los motivos del rechazo.
1. Para ver información detallada sobre una solicitud específica o revisar una solicitud pendiente de aprobación, seleccione el ID de la solicitud.
1. Revise la información detallada de la solicitud:
+ Información del proveedor del producto
+ Motivo y justificación de la solicitud
+ Duración solicitada
+ Permisos de AWS solicitados
1. Si es un administrador que revisa una solicitud pendiente, elija una de las siguientes opciones:
+ Para aprobar la solicitud, elija *Aprobar*. En el cuadro de diálogo de aprobación, puede ver los resultados de la simulación de permisos. Para obtener más información, consulte [Funcionalidad beta de simulación de permisos](temporary-delegation-initiate-request.md#temporary-delegation-permission-simulation). Tras confirmar la duración del acceso y su identidad de AWS, seleccione *Aprobar* para conceder acceso. Si el proveedor del producto solicitó acceso inmediato, recibirá automáticamente los permisos temporales y comenzará la duración del acceso. De lo contrario, notifique a la persona que inició la solicitud de liberación del acceso al proveedor del producto.
+ Para rechazar la solicitud, elija *Rechazar*.
+ En el cuadro de diálogo de rechazo, indique un motivo claro del rechazo para ayudar al solicitante a entender por qué se denegó su solicitud.
+ Elija *Rechazar* para denegar el acceso.
1. La lista de solicitudes se actualiza automáticamente para mostrar la información de estado más reciente. También puede actualizar la página de forma manual para comprobar si hay actualizaciones de estado.
# Revocación del acceso a la delegación temporal
Si bien las sesiones de acceso de los proveedores de productos están diseñadas para vencer automáticamente después de la duración aprobada, es posible que tenga que terminar el acceso de inmediato en determinadas situaciones. La revocación del acceso activo de los proveedores de productos proporciona un mecanismo de control de emergencia cuando surgen problemas de seguridad, cuando el trabajo del proveedor del producto finaliza antes de tiempo o cuando cambian los requisitos empresariales. Tanto los iniciadores como los administradores de las solicitudes pueden revocar el acceso para mantener el control operativo y de seguridad.
**Revocación del acceso a la delegación temporal**
1. Inicie sesión en AWS Management Console y abra la consola IAM en https://console.aws.amazon.com/iam/.
1. En el panel de navegación que se muestra a la izquierda, seleccione *Solicitudes de delegación temporal*.
1. Busque el ID de solicitud de la sesión de acceso que desea revocar.
1. Elija *Acciones* y, a continuación, elija *Revocar acceso*.
1. En el cuadro de diálogo, elija *Revocar acceso* para confirmar que desea finalizar inmediatamente la sesión de acceso.
Después de revocar el acceso, el proveedor del producto ya no podrá acceder a sus recursos de AWS. La revocación se registra en AWS CloudTrail con fines de auditoría.
**importante**
La revocación del acceso termina inmediatamente la sesión de acceso del proveedor del producto. Se interrumpirá cualquier trabajo o proceso en curso que utilice el acceso. Asegúrese de que la revocación no interrumpa las operaciones críticas.
**nota**
No puede revocar el acceso a las solicitudes que se aprobaron con un usuario raíz. AWS recomienda evitar el uso de un usuario raíz para aprobar las solicitudes de delegación. En su lugar, use un rol de IAM con los permisos adecuados.
## Administración de permisos para solicitudes de delegación
Los administradores pueden conceder permisos a las entidades principales de IAM para administrar las solicitudes de delegación de los proveedores de productos. Esto resulta útil cuando desea delegar la autoridad de aprobación a usuarios o equipos específicos de su organización, o cuando necesita controlar quién puede llevar a cabo acciones específicas en relación con las solicitudes de delegación.
Los siguientes permisos de IAM están disponibles para administrar las solicitudes de delegación:
| Permiso | Descripción |
| --- | --- |
| iam:AssociateDelegationRequest | Asociar una solicitud de delegación sin asignar a su cuenta de AWS |
| iam:GetDelegationRequest | Ver los detalles de una solicitud de delegación |
| iam:UpdateDelegationRequest | Reenviar una solicitud de delegación a un administrador para su aprobación |
| iam:AcceptDelegationRequest | Aprobar una solicitud de delegación |
| iam:SendDelegationToken | Liberar el token de intercambio al proveedor del producto después de la aprobación |
| iam:RejectDelegationRequest | Rechazar una solicitud de delegación |
| iam:ListDelegationRequests | Enumerar las solicitudes de delegación para su cuenta |
**nota**
De forma predeterminada, a las entidades principales de IAM que inician una solicitud de delegación se les conceden automáticamente permisos para administrar esa solicitud específica. Pueden asociarla a su cuenta, ver los detalles de la solicitud, rechazarla, reenviarla a un administrador para su aprobación, liberar el token de intercambio al proveedor del producto tras la aprobación del administrador y enumerar las solicitudes de delegación que sean de su propiedad.
# Notificaciones
La delegación temporal de IAM se integra con Notificaciones de usuarios de AWS para ayudarlo a mantenerse informado sobre los cambios de estado de las solicitudes de delegación. Las notificaciones son especialmente útiles para los administradores que necesitan revisar y aprobar las solicitudes de delegación.
Con Notificaciones de usuarios de AWS, puede configurar las alertas para que se envíen a través de varios canales, tales como el correo electrónico, Amazon Simple Notification Service (SNS), AWS Chatbot para Slack o Microsoft Teams, y la aplicación móvil de la Consola de AWS. Esto garantiza que se notifique a las personas adecuadas en el momento adecuado, lo que permite responder más rápidamente a las aprobaciones pendientes o conocer los cambios de acceso. También puede personalizar qué eventos desencadenan las notificaciones en función de las necesidades y los requisitos de seguridad de su organización.
## Eventos de notificaciones disponibles
Puede suscribirse para recibir notificaciones de los siguientes eventos de delegación temporal de IAM:
+ Creación de una solicitud de delegación temporal de IAM
+ Asignación de una solicitud de delegación temporal de IAM
+ Aprobación pendiente de una solicitud de delegación temporal de IAM
+ Rechazo de una solicitud de delegación temporal de IAM
+ Aceptación de una solicitud de delegación temporal de IAM
+ Finalización de una solicitud de delegación temporal de IAM
+ Vencimiento de una solicitud de delegación temporal de IAM
## Configuración de notificaciones
Para configurar las notificaciones de los eventos de delegación temporal de IAM:
1. Abra la consola de Notificaciones de usuarios de AWS.
1. Cree o actualice una configuración de notificaciones.
1. Seleccione AWS IAM como servicio.
1. Elija los eventos de solicitudes de delegación sobre los que desea recibir notificaciones.
1. Configure sus canales de entrega (correo electrónico, AWS Chatbot, etc.).
Para obtener instrucciones detalladas sobre la configuración de Notificaciones de usuarios de AWS, incluida la configuración de los canales de entrega y la administración de las reglas de notificación, consulte la documentación de Notificaciones de usuarios de AWS.
# CloudTrail
Todas las acciones llevadas a cabo por los proveedores de productos mediante el acceso delegado temporal se registran automáticamente en AWS CloudTrail. Esto proporciona una visibilidad y una auditabilidad completas de la actividad del proveedor del producto en su cuenta de AWS. Puede identificar qué acciones llevaron a cabo los proveedores de productos, cuándo se produjeron y qué cuenta del proveedor del producto las efectuó.
Para ayudarlo a distinguir entre las acciones que llevan a cabo sus propias entidades principales de IAM y las que llevan a cabo los proveedores de productos con acceso delegado, los eventos de CloudTrail incluyen un nuevo campo denominado `invokedByDelegate` en el elemento `userIdentity`. Este campo contiene el ID de cuenta de AWS del proveedor del producto, lo que facilita el filtrado y la auditoría de todas las acciones delegadas.
## Estructura de los eventos de CloudTrail
En el ejemplo siguiente se muestra un evento de CloudTrail para una acción llevada a cabo por un proveedor de productos que utiliza el acceso delegado temporal:
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:Role-Session-Name",
"arn": "arn:aws:sts::111122223333:assumed-role/Role-Name/Role-Session-Name",
"accountId": "111122223333",
"accessKeyId": "[REDACTED:AWS_ACCESS_KEY]",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-09-09T17:50:16Z",
"mfaAuthenticated": "false"
}
},
"invokedByDelegate": {
"accountId": "444455556666"
}
},
"eventTime": "2024-09-09T17:51:44Z",
"eventSource": "iam.amazonaws.com",
"eventName": "GetUserPolicy",
"awsRegion": "us-east-1",
"requestParameters": {
"userName": "ExampleIAMUserName",
"policyName": "ExamplePolicyName"
},
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
El campo `invokedByDelegate` contiene el ID de cuenta de AWS del proveedor del producto que llevó a cabo la acción mediante el acceso delegado. En este ejemplo, la cuenta 444455556666 (el proveedor del producto) llevó a cabo una acción en la cuenta 111122223333 (la cuenta del cliente).