# AWSPolíticas administradas de para funciones de trabajo
<a name="access_policies_job-functions"></a>

Recomendamos utilizar políticas que [otorguen el menor privilegio](best-practices.md#grant-least-privilege), o que concedan solo los permisos necesarios para realizar una tarea. La forma más segura de conceder menos privilegios es escribir una política personalizada que tenga solamente los permisos necesarios para su equipo. Debe crear un proceso para permitir que su equipo solicite más permisos cuando sea necesario. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](access_policies_create-console.md) que proporcionen a su equipo solo los permisos necesarios.

Para comenzar a agregar permisos a sus identidades de IAM (usuarios, grupos de usuarios y roles), puede utilizar [AWSPolíticas administradas por](access_policies_managed-vs-inline.md#aws-managed-policies). Las políticas administradas de AWS cubren casos de uso comunes y están disponibles en su cuenta de Cuenta de AWS. Las políticas administradas de AWS no otorgan permisos de privilegios mínimos. Considere el riesgo de seguridad de conceder a sus entidades principales más permisos de los que necesitan para realizar su trabajo.

Puede adjuntar políticas administradas de AWS, incluidas las funciones de trabajo, a cualquier identidad de IAM. Para cambiar a permisos de privilegios mínimos, puede ejecutar AWS Identity and Access Management y Access Analyzer para supervisar las entidades principales con las políticas administradas de AWS. Después de saber qué permisos están utilizando, puede escribir una política personalizada o generar una política con solo los permisos necesarios para su equipo. Esto es menos seguro, pero proporciona más flexibilidad a medida que aprende cómo usa su equipo AWS.

AWSLas políticas administradas por de funciones se han creado para estar en consonancia con las funciones comunes del sector de TI. Puede utilizar estas políticas para conceder los permisos necesarios para realizar las tareas que se esperan de alguien en una determinada función. Estas políticas agrupan permisos para numerosos servicios en una única política, lo que facilita el trabajo, ya que los permisos no están diseminados en varias políticas.

**Uso de roles para combinar servicios**  
Algunas de las políticas utilizan los roles de servicio de IAM para sacar partido de las características de otros servicios de AWS. Estas políticas conceden acceso a `iam:passrole`, que permite a un usuario con la política transmitir un rol a un servicio de AWS. Este rol delega los permisos de IAM al servicio de AWS para llevar a cabo acciones en su nombre.

Debe crear los roles en función de sus necesidades. Por ejemplo, la política de administrador de red permite a un usuario con la política transmitir un rol denominado "flow-logs-vpc" al servicio de Amazon CloudWatch. CloudWatch utiliza dicho rol para registrar y capturar el tráfico IP de las VPC creadas por el usuario.

Para seguir las prácticas recomendadas de seguridad, las políticas de funciones incluyen filtros que limitan los nombres de roles válidos que pueden transmitirse. Esto evita la concesión de permisos innecesarios. Si los usuarios necesitan los roles de servicio opcionales, debe crear un rol que utilice la convención de nomenclatura especificada en la política. A continuación, conceda los permisos al rol. A continuación, el usuario podrá configurar el servicio para utilizar el rol, concediéndole cualquier permiso que el rol proporcione.

En las secciones siguientes, cada nombre de política es un enlace a la página de detalles de la política en la Consola de administración de AWS. Ahí puede ver el documento de la política y revisar los permisos que concede.

## Función de trabajo de administrador
<a name="jf_administrator"></a>

**Nombre de la política administrada por AWS:** [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)

**Caso de uso:** este usuario tiene acceso completo y puede delegar permisos a cada servicio y recurso de AWS.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** esta política concede permisos para todas las acciones de todos los servicios de AWS y todos los recursos de la cuenta. Para obtener más información sobre la política administrada, consulte [AdministratorAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AdministratorAccess.html) en la *AWS Guía de referencia de políticas administradas*.

**nota**  
Antes de que un usuario o rol de IAM pueda acceder a la consola de Administración de facturación y costos de AWS con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en [Conceder acceso a la consola de facturación](getting-started-account-iam.md) a fin de delegar el acceso a la consola de facturación.

## Función de facturación de trabajo
<a name="jf_accounts-payable"></a>

**Nombre de la política administrada por AWS:** [Billing](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/Billing)

**Caso de uso:** este usuario necesita ver la información de facturación, configurar un pago y autorizarlo. El usuario puede monitorizar los costos acumulados de cada servicio de AWS.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** esta política concede permisos completos para administrar la facturación, los costos, los métodos de pago, los presupuestos y los informes. Para ver otros ejemplos de políticas de administración de costes, consulte los [ejemplos de políticas de AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) en la *Guía del usuario de Administración de facturación y costos de AWS*. Para obtener más información sobre las políticas administradas, consulte [Facturación](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/Billing.html) en la *Guía de referencia de políticas administradas de AWS*.

**nota**  
Antes de que un usuario o rol de IAM pueda acceder a la consola de Administración de facturación y costos de AWS con los permisos de esta política, debe activar antes el acceso de usuarios y roles de IAM. Para ello, siga las instrucciones que se indican en [Conceder acceso a la consola de facturación](getting-started-account-iam.md) a fin de delegar el acceso a la consola de facturación.

## Función de trabajo de administrador de base de datos
<a name="jf_database-administrator"></a>

**Nombre de política administrada por AWS:** [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)

**Caso de uso:** este usuario configura y mantiene las bases de datos de la nube de AWS.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** esta política concede permisos para crear, configurar y mantener bases de datos. Incluye acceso a servicios de base de datos AWS, como Amazon DynamoDB, Amazon Relational Database Service (RDS) y Amazon Redshift. Vea la política para conocer la lista completa de servicios de base de datos que admite. Para obtener más información sobre la política gestionada, consulte [DatabaseAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DatabaseAdministrator.html) en la *Guía de referencia de políticas gestionadas AWS*.

Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Esta política permite la acción `iam:PassRole` únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte [Creación de roles y asociación de políticas (consola)](access_policies_job-functions_create-policies.md) más adelante en este tema.


| Caso de uso | Nombre de rol (\$1 es un carácter comodín) | Tipo de rol de servicio que ha de seleccionarse | Seleccionar esta política administrada por AWS | 
| --- | --- | --- | --- | 
| Permitir al usuario que monitorice las bases de datos de RDS | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | Rol de Amazon RDS para un monitoreo mejorado | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) | 
| Permitir que AWS Lambda monitorice la base de datos y obtenga acceso a las bases de datos externas | [rdbms-lambda-access](https://aws.amazon.com/blogs/big-data/from-sql-to-microservices-integrating-aws-lambda-with-relational-databases) | Amazon EC2 | [AWSLambda\$1FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSLambda_FullAccess) | 
| Permitir a Lambda cargar archivos en Amazon S3 y en clústeres de Amazon Redshift con DynamoDB | [lambda\$1exec\$1role](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | AWS Lambda | Crear una nueva política administrada, tal y como se define en el [blog de big data de AWS](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | 
| Permitir que las funciones de Lambda actúen como activadores de las tablas de DynamoDB | [lambda-dynamodb-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaDynamoDBExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) | 
| Permitir que las funciones de Lambda obtengan acceso a Amazon RDS en una VPC | [lambda-vpc-execution-role](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | Crear un rol con una política de confianza, tal y como se define en la [Guía del desarrollador de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | [AWSLambdaVPCAccessExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole) | 
| Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Crear un rol con una política de confianza, tal y como se define en la [Guía del desarrollador de AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | La documentación AWS Data Pipeline enumera los permisos necesarios para este caso de uso. Consulte [Roles de IAM para AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | 
| Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Crear un rol con una política de confianza, tal y como se define en la [Guía del desarrollador de AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) | 

## Función del trabajo de científico de datos
<a name="jf_data-scientist"></a>

**Nombre de la política administrada por AWS:** [DataScientist](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DataScientist)

**Caso de uso:** este usuario ejecuta consultas y trabajos de Hadoop. El usuario también obtiene acceso a la información y la analiza para las tareas de análisis de datos e inteligencia empresarial.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** esta política concede permisos para crear, administrar y ejecutar consultas en un clúster de Amazon EMR y realizar análisis de datos con herramientas tales como Amazon QuickSight. La política incluye el acceso a servicios de científicos de datos adicionales, como AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning y SageMaker AI. Vea la política para conocer la lista completa de servicios científicos de datos que admite. Para obtener más información sobre la política administrada, consulte [DataScientist](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DataScientist.html) en *Guía de referencia de políticas AWS administradas*.

Esta política de función de trabajo permite transmitir roles a los servicios de AWS. Una instrucción permite pasar cualquier rol a SageMaker AI. Otra instrucción permite la acción `iam:PassRole` únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte [Creación de roles y asociación de políticas (consola)](access_policies_job-functions_create-policies.md) más adelante en este tema.


| Caso de uso | Nombre de rol (\$1 es un carácter comodín) | Tipo de rol de servicio que ha de seleccionarse | AWSPolítica administrada por que ha de seleccionarse | 
| --- | --- | --- | --- | 
| Permitir que las instancias de Amazon EC2 obtengan acceso a servicios y recursos adecuados para clústeres | [EMR-EC2\$1DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR para EC2  | [AmazonElasticMapReduceforEC2Role](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceforEC2Role) | 
| Permitir que Amazon EMR obtenga acceso a los servicios y recursos de Amazon EC2 para clústeres | [EMR\$1DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR | [AmazonEMRServicePolicy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) | 
| Permita que Kinesis Managed Service for Apache Flink acceda a los orígenes de datos de streaming | [kinesis-\$1](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | Crear un rol con una política de confianza, tal y como se define en el [blog de big data de AWS](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader). | Consulte el [blog de big data de AWS](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader), que define cuatro posibles opciones en función de su caso de uso | 
| Permitir que AWS Data Pipeline obtenga acceso a los recursos de AWS | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Crear un rol con una política de confianza, tal y como se define en la [Guía del desarrollador de AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | La documentación AWS Data Pipeline enumera los permisos necesarios para este caso de uso. Consulte [Roles de IAM para AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | 
| Permitir que las aplicaciones que se ejecuten en instancias Amazon EC2 obtengan acceso a los recursos de AWS | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Crear un rol con una política de confianza, tal y como se define en la [Guía del desarrollador de AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) | 

## Función de trabajo de usuario avanzado desarrollador
<a name="jf_developer-power-user"></a>

**Nombre de la política administrada por AWS:** [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)

**Caso de uso:** este usuario realiza tareas de desarrollo de aplicaciones y puede crear y configurar recursos y servicios que respalden el desarrollo de aplicaciones compatibles con AWS.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** la primera instrucción de esta política utiliza el elemento [`NotAction`](reference_policies_elements_notaction.md) para permitir todas las acciones para todos los servicios de AWS y para todos los recursos, excepto AWS Identity and Access Management, AWS Organizations y AWS Account Management. La segunda instrucción concede permisos de IAM para crear un rol vinculado al servicio. Esto es necesario en el caso de ciertos servicios que deben tener acceso a recursos de otro servicio, como un bucket de Amazon S3. También concede permisos de AWS Organizations para ver información acerca de la organización del usuario, incluido el correo electrónico de la cuenta de administración y las limitaciones de la organización. Aunque esta política limita a IAM y AWS Organizations, permite al usuario realizar todas las acciones de IAM Identity Center si está activado IAM Identity Center. También otorga permisos de administración de cuentas para ver qué regiones de AWS están habilitadas o deshabilitadas para la cuenta.

## Función de trabajo del administrador de red
<a name="jf_network-administrator"></a>

**Nombre de la política administrada por AWS:** [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)

**Caso de uso:** este usuario tiene la tarea de configurar y mantener los recursos de red de AWS.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** esta política concede permisos para crear y mantener recursos de red en Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic BeanstalkAmazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM y Amazon Virtual Private Cloud. Para obtener más información sobre la política administrada, consulte [NetworkAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/NetworkAdministrator.html) en la *Guía de referencia de políticas AWS administradas*.

Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos `iam:GetRole` y `iam:PassRole` únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte [Creación de roles y asociación de políticas (consola)](access_policies_job-functions_create-policies.md) más adelante en este tema.


| Caso de uso | Nombre de rol (\$1 es un carácter comodín) | Tipo de rol de servicio que ha de seleccionarse | AWSPolítica administrada por que ha de seleccionarse | 
| --- | --- | --- | --- | 
| Permite que Amazon VPC cree y administre registros en CloudWatch Logs en nombre del usuario para monitorear el tráfico IP entrante y saliente de la VPC | [flow-logs-\$1](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | Crear un rol con una política de confianza, tal y como se define en la [Guía del usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | Este caso de uso no tiene una política administrada por AWS existente, pero la documentación indica los permisos necesarios. Consulte la [Guía del usuario de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | 

## Acceso de solo lectura
<a name="awsmp_readonlyaccess"></a>

**Nombre de la política administrada por AWS:** [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)

**Caso de uso**: este usuario requiere acceso de solo lectura a todos los recursos de una cuenta de Cuenta de AWS.

**importante**  
Este usuario también tendrá acceso para leer los datos en servicios de almacenamiento, como los buckets de Amazon S3 y las tablas de Amazon DynamoDB.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** esta política concede permisos para enumerar, obtener, describir y ver recursos y sus atributos de otro modo. No incluye funciones de mutación como crear o eliminar. Esta política incluye acceso de solo lectura a servicios de AWS relacionados con la seguridad, como AWS Identity and Access Management y Administración de facturación y costos de AWS. Vea la política para conocer la lista completa de servicios y acciones que admite esta política. Para obtener más información sobre las políticas administradas, consulte [ReadOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ReadOnlyAccess.html) en la *Guía de referencia de políticas administradas de AWS*. Si necesita una política similar que no conceda acceso para leer datos en los servicios de almacenamiento, consulte [Función de trabajo de usuario de solo lectura](#jf_view-only-user).

## Acceso completo a las acciones del servicio del MCP
<a name="jf_mcp-service-actions"></a>

**Nombre de la política administrada de AWS:** [AWSMcpServiceActionsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSMcpServiceActionsFullAccess)

**Caso de uso:** este usuario necesita acceder a los servicios de AWS mediante servidores MCP de AWS. Esta política no otorga acceso a las acciones que lleva a cabo un servicio del MCP en relación con otros servicios de AWS.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** esta política otorga permisos para llamar a cualquier acción del servicio del MCP de AWS. Puede utilizarla cuando no necesite especificar permisos por servicio del MCP de AWS. No concede permisos a las acciones que lleva a cabo el servicio del MCP a otros servicios de AWS; esos permisos siempre deben concederse por separado y además de las acciones del servicio del MCP. Para obtener información sobre la política administrada, consulte [AWSMcpServiceActionsFullAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSMcpServiceActionsFullAccess.html) en la *Guía de referencia de políticas administradas de AWS*.

## Función de trabajo de auditor de seguridad
<a name="jf_security-auditor"></a>

**Nombre de la política administrada por AWS:** [SecurityAudit](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/SecurityAudit)

**Caso de uso:** este usuario monitoriza las cuentas para comprobar que cumplan con los requisitos de seguridad. Este usuario puede obtener acceso a los logs y eventos para investigar posibles infracciones de seguridad o actividades malintencionadas.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** esta política concede permisos para ver los datos de configuración de muchos servicios de AWS y revisar sus registros. Para obtener más información sobre la política gestionada, consulte [SecurityAudit](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SecurityAudit.html) en la Guía de *referencia de políticas AWS gestionadas*.

## Función de trabajo de usuario de soporte
<a name="jf_support-user"></a>

**Nombre de política administrada de AWS:** [AWSSupportAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportAccess)

**Caso de uso:** este usuario se pone en contacto con AWS Support, crea casos de soporte y consulta el estado de los casos existentes.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de política:** esta política concede permisos para crear y actualizar casos de Soporte. Para obtener información sobre las políticas administradas, consulte [AWSSupportAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSSupportAccess.html) en la *Guía de referencia de políticas administradas de AWS*.

## Función de trabajo de administrador del sistema
<a name="jf_system-administrator"></a>

**Nombre de la política administrada por AWS:** [SystemAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/SystemAdministrator)

**Caso de uso:** este usuario configura y mantiene los recursos para realizar operaciones de desarrollo.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** Esta política concede permisos para crear y mantener los recursos de una gran variedad de servicios de AWS, incluyendo AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor y Amazon VPC. Para obtener más información sobre la política administrada, consulte [SystemAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SystemAdministrator.html) en la *Guía de referencia de políticas AWS administradas*.

Esta función requiere poder transmitir roles a los servicios de AWS. Esta política concede permisos `iam:GetRole` y `iam:PassRole` únicamente para los roles indicados en la siguiente tabla. Para obtener más información, consulte [Creación de roles y asociación de políticas (consola)](access_policies_job-functions_create-policies.md) más adelante en este tema. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).


| Caso de uso | Nombre de rol (\$1 es un carácter comodín) | Tipo de rol de servicio que ha de seleccionarse | AWSPolítica administrada por que ha de seleccionarse | 
| --- | --- | --- | --- | 
| Permitir que las aplicaciones que se ejecutan en instancias EC2 de un clúster de Amazon ECS obtengan acceso a Amazon ECS | [ecr-sysadmin-\$1](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html) | Rol de Amazon EC2 para EC2 Container Service  | [AmazonEC2ContainerServiceforEC2Role](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role) | 
| Permitir a un usuario que monitorice las bases de datos | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | Rol de Amazon RDS para un monitoreo mejorado | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) | 
| Permitir que las aplicaciones que se ejecutan en instancias EC2 obtengan acceso a los recursos de AWS | [ec2-sysadmin-\$1](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) | Amazon EC2 | Política de ejemplo para un rol que concede acceso a un bucket de S3, tal y como se muestra en la [Guía del usuario de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html); puede personalizarse según sea necesario | 
| Permitir que Lambda lea DynamoDB Streams y escriba en los CloudWatch Logs | [lambda-sysadmin-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaDynamoDBExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) | 

## Función de trabajo de usuario de solo lectura
<a name="jf_view-only-user"></a>

**Nombre de la política administrada por AWS:** [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess)

**Caso de uso:** este usuario puede ver en su cuenta una lista de metadatos básicos y recursos de AWS en los servicios. El usuario no puede leer contenido de recursos ni metadatos más allá de la información de cuotas y de listas correspondientes a los recursos.

**Actualizaciones de políticas:** AWS mantiene y actualiza esta política. Para obtener un historial de cambios para esta política, consulte la política en la consola de IAM y, a continuación, elija la pestaña **Versiones de políticas**. Para obtener más información acerca de las políticas de funciones de trabajo, consulte [Actualizaciones de políticas administradas de AWS para funciones de trabajo](#security-iam-awsmanpol-jobfunction-updates).

**Descripción de la política:** esta política concede a `List*`, `Describe*`, `Get*`, `View*` y `Lookup*` acceso a los recursos de los servicios de AWS. Para ver qué acciones incluye esta política para cada servicio, consulte [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess). Para obtener más información sobre la política gestionada, consulte [ViewOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ViewOnlyAccess.html) en la *Guía de referencia de políticas gestionadas AWS*.

## Actualizaciones de políticas administradas de AWS para funciones de trabajo
<a name="security-iam-awsmanpol-jobfunction-updates"></a>

AWS mantiene todas estas políticas y las actualiza para incluir soporte de nuevos servicios y nuevas funciones a medida que AWS los agrega. Los clientes no pueden modificar estas políticas. Puede realizar una copia de la política y, a continuación, modificar la copia, pero que no se actualiza automáticamente como copia de AWS introduce nuevos servicios y operaciones del API.

Para una política de función de trabajo, puede ver el historial de versiones y la hora y fecha de cada actualización en la consola de IAM. Para hacer esto, utilice los vínculos de esta página para ver los detalles de la política. A continuación, elija la pestaña **Versiones de políticas** para ver las versiones. Esta página muestra las últimas 25 versiones de una política. Para ver todas las versiones de una política, llame al comando [get-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy-version.html) de AWS CLI o la operación [GetPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicyVersion.html) de la API

**nota**  
Puede tener hasta cinco versiones de una política administrada por el cliente, pero AWS conserva el historial de versiones completo de las políticas administradas de AWS.

# Creación de roles y asociación de políticas (consola)
<a name="access_policies_job-functions_create-policies"></a>

Varias de las políticas indicadas anteriormente hacen que pueda configurar servicios de AWS con roles que les permitan llevar a cabo operaciones por usted. Las políticas de funciones especifican los nombres exactos del rol que debe utilizar o al menos incluyen un prefijo que especifique la primera parte del nombre que puede utilizarse. Para crear uno de estos roles, siga los pasos que se indican en el siguiente procedimiento.

**Cómo crear un rol para un Servicio de AWS (consola de IAM)**

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. En **Tipo de entidad de confianza**, elija **Servicio de AWS**.

1. En **Servicio o caso de uso**, seleccione un servicio y, a continuación, el caso de uso. Los casos de uso son definidos por el servicio de modo tal que ya incluyen la política de confianza que el servicio mismo requiere.

1. Elija **Siguiente**.

1. Para las **Políticas de permisos**, las opciones dependen del caso de uso que haya seleccionado:
   + Si el servicio define los permisos para el rol, no puede seleccionar políticas de permisos.
   + Seleccione entre un conjunto limitado de políticas de permisos.
   + Seleccione una de todas las políticas de permisos.
   + No seleccione políticas de permisos en este momento. Después de crear el rol, genere las políticas y luego asócielas al rol.

1. (Opcional) Configure un [límite de permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.

   1. Abra la sección **Configurar límite de permisos** y, a continuación, elija **Utilizar un límite de permisos para controlar los permisos que puedes tener el rol como máximo**. 

      IAM incluye una lista de las políticas administradas por AWS y de las políticas administradas por el cliente de cada cuenta.

   1. Seleccione la política que desea utilizar para el límite de permisos.

1. Elija **Siguiente**.

1. Para **Nombre del rol**, las opciones varían según el servicio:
   + Si el servicio define el nombre del rol, no podrá editarlo.
   + Si el servicio define un prefijo para el nombre del rol, puede ingresar un sufijo opcional.
   + Si el servicio no define el nombre del rol, podrá nombrarlo usted mismo.
**importante**  
Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:  
Los nombres de rol deben ser únicos dentro de su Cuenta de AWS, y no se puedesn hacer únicos mediante mayúsculas y minúsculas.  
Por ejemplo, no puedes crear roles denominados tanto **PRODROLE** como **prodrole**. Cuando se utiliza un nombre de rol en una política o como parte de un ARN, el nombre de rol distingue entre mayúsculas y minúsculas, sin embargo, cuando un nombre de rol les aparece a los clientes en la consola, como por ejemplo durante el proceso de inicio de sesión, el nombre de rol no distingue entre mayúsculas y minúsculas.
Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.

1. (Opcional) **En Descripción**, ingrese una descripción para el rol.

1. (Opcional) Para editar los casos de uso y los permisos de la función, en las secciones **Paso 1: Seleccionar entidades confiables** o en **Paso 2: Agregar permisos**, elija **Editar**.

1. (Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetas para recursos de AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía del usuario de IAM*.

1. Revise el rol y, a continuación, elija **Crear rol**.

## Ejemplo 1: configuración de un usuario como administrador de base de datos (consola)
<a name="jf_example_1"></a>

Este ejemplo muestra los pasos necesarios para establecer a Alice, usuaria de IAM, como [Administradora de base de datos](access_policies_job-functions.md#jf_database-administrator). Use la información de la primera fila de la tabla de dicha sección y permita a la usuaria que habilite el monitoreo de Amazon RDS. Debe asociar la política [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator) al usuario de IAM de Alice para que pueda administrar los servicios de base de datos de Amazon. Esta política también permite que Alice transmita un rol denominado `rds-monitoring-role` al servicio de Amazon RDS que permite al servicio supervisar las bases de datos de Amazon RDS en su nombre.

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Seleccione **Políticas**, escriba **database** en el cuadro de búsqueda y luego pulse Entrar.

1. Seleccione el botón de radio correspondiente a la política **DatabaseAdministrator**, luego **Acciones** y, por último **Asociar**.

1. En la lista de entidades, seleccione **Alice** y, a continuación, **Asociar política**. A partir de este momento Alice puede administrar las bases de datos de AWS. Sin embargo, debe configurar el rol de servicio para permitir a Alice monitorizar dichas bases de datos.

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. Elija el tipo de función de **servicio de AWS** y, a continuación, elija **Amazon RDS**.

1. Elija el caso de uso **Rol de Amazon RDS para el monitoreo mejorado**.

1. Amazon RDS define los permisos de su rol. Elija **Siguiente: revisión** para continuar.

1. El nombre del rol debe ser uno de los especificados en la política de DatabaseAdministrator que ahora tiene Alice. Uno de ellos es **rds-monitoring-role**. Ingréselo en **Nombre del rol**.

1. (Opcional) En **Descripción del rol**, introduzca una descripción para el nuevo rol.

1. Después de revisar los detalles, elija **Crear rol**.

1. Ahora Alice puede activar **Monitoreo mejorado de RDS** en la sección **Monitoreo** de la consola de Amazon RDS. Por ejemplo, puede hacerlo al crear una instancia de base de datos, crear una réplica de lectura o modificar una instancia de base de datos. Debe ingresar el nombre del rol creado (rds-monitoring-role) en el cuadro **Rol de supervisión** al establecer **Habilitar supervisión mejorada** en **Sí**. 

## Ejemplo 2: configuración de un usuario como administrador de red (consola)
<a name="jf_example_2"></a>

Este ejemplo muestra los pasos necesarios para establecer a Jorge, usuario de IAM, como [Administrador de red](access_policies_job-functions.md#jf_network-administrator). Se usa la información de la tabla en esa sección para permitir a Jorge supervisar el tráfico IP que va hacia y desde una VPC. También permite a Jorge capturar dicha información en los registros de CloudWatch. Debe asociar la política [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator) al usuario de IAM de Jorge para que pueda configurar los recursos de red de AWS. Esta política también permite a Jorge transmitir un rol cuyo nombre comience por `flow-logs*` a Amazon EC2 al crear un registro de flujo. En este caso, a diferencia del ejemplo 1, no existe un tipo de rol de servicio predefinido, de modo que debe realizar algunos pasos de forma distinta.

1. Inicie sesión en Consola de administración de AWS y abra la consola IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas** y, a continuación, ingrese **network** en el cuadro de búsqueda y pulse Entrar.

1. Seleccione el botón de radio situado junto a la política **NetworkAdministrator**, luego **Acciones** y, por último, **Asociar**.

1. En la lista de usuarios, seleccione la casilla de verificación junto a **Jorge** y, a continuación, elija **Asociar política**. Jorge puede administrar ahora los recursos de red de AWS. Sin embargo, debe configurar el rol de servicio para permitir la monitorización del tráfico IP de la VPC.

1. Dado que el rol de servicio que necesita crear no tiene una política administrada predefinida, primero debe crearla. En el panel de navegación, seleccione **Políticas** y, a continuación, elija **Crear política**.

1. En la sección **Editor de políticas**, seleccione la opción **JSON** y copie el texto del siguiente documento de política de JSON. Pegue el texto en el cuadro de texto **JSON**. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }
   ```

------

1.  Resuelva las advertencias de seguridad, errores o advertencias generales generadas durante la [validación de política](access_policies_policy-validator.md) y luego elija **Siguiente**. 
**nota**  
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de políticas](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. En la página **Revisar y crear**, escriba **vpc-flow-logs-policy-for-service-role** como nombre de la política. Revise los **Permisos definidos en esta política** para ver los permisos que concede la política y, a continuación, seleccione **Crear política** para guardar su trabajo.

   La nueva política aparece en la lista de las políticas administradas y está lista para asociar.

1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.

1. Seleccione el tipo de rol **Servicio de AWS** y luego elija **Amazon EC2**.

1. Elija el caso de uso **Amazon EC2**

1. En la página **Asociar políticas de permisos**, seleccione la política que ha creado anteriormente, **vpc-flow-logs-policy-for-service-role**, a continuación, elija **Siguiente: revisión**.

1. El nombre del rol debe estar permitido por la política de NetworkAdministrator que Jorge tiene ahora. Los nombres que comiencen por `flow-logs-` están permitidos. En este ejemplo, ingrese **flow-logs-for-jorge** como **Nombre de rol**.

1. (Opcional) En **Descripción del rol**, introduzca una descripción para el nuevo rol.

1. Después de revisar los detalles, elija **Crear rol**.

1. Ahora puede configurar la política de confianza necesaria para este caso. En la página **Roles**, seleccione el rol **flow-logs-for-jorge** (el nombre, no la casilla de verificación). En la página de detalles del nuevo rol, elija la pestaña **Relaciones de confianza** y, a continuación, elija **Editar relación de confianza**.

1. Cambie la línea de "Service" para que se lea como sigue, sustituyendo la entrada por `ec2.amazonaws.com`:

   ```
           "Service": "vpc-flow-logs.amazonaws.com"
   ```

1. Jorge ahora puede crear registros de flujo para una VPC o subred en la consola de Amazon EC2. Al crear el registro de flujo, especifique el rol **flow-logs-for-jorge**. Este rol tiene los permisos para crear el log y escribir datos en él.