Amazon Monitron ya no está abierto a nuevos clientes. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener información sobre funciones similares a las de Amazon Monitron, consulte nuestra [entrada de blog](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Amazon Monitron
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre AWS usted y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener información sobre los programas de conformidad que se aplican a Amazon Monitron, consulte [AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad AWS Servicios en el ámbito de aplicación por programa](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.
Esta documentación le permite comprender cómo aplicar el modelo de responsabilidad compartida al utilizar Amazon Monitron. En los temas siguientes le mostramos cómo configurar Amazon Monitron para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus recursos de Amazon Monitron.
**Topics**
+ [Protección de datos en Amazon Monitron](data-protection.md)
+ [Administración de identidades y accesos para Amazon Monitron](security-iam.md)
+ [Registro y monitoreo en Amazon Monitron](monitron-logging.md)
+ [Validación de conformidad para Amazon Monitron](monitron-compliance.md)
+ [Seguridad de la infraestructura en Amazon Monitron](infrastructure-security.md)
+ [Prácticas recomendadas de seguridad para Amazon Monitron](security-best-practices.md)
# Protección de datos en Amazon Monitron
AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los AWS servicios. AWS mantiene el control de los datos alojados en esta infraestructura, incluidos los controles de configuración de seguridad para gestionar el contenido y los datos personales de los clientes. AWS los clientes y los socios de APN, que actúan como controladores o procesadores de datos, son responsables de cualquier dato personal que coloquen en la AWS nube.
Con fines de protección de datos, le recomendamos que proteja las credenciales de la AWS cuenta y configure los usuarios individuales con AWS Identity and Access Management (IAM), de modo que cada usuario reciba únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utilice TLS (Transport Layer Security) para comunicarse con AWS los recursos.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de AWS los servicios.
+ Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.
Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campo **Nombre**. Esto incluye cuando trabaja con Amazon Monitron u otros AWS servicios mediante la consola, la API o. AWS CLI AWS SDKs Es posible que cualquier dato que introduzca en Amazon Monitron o en otros servicios se recoja para su inclusión en registros de diagnóstico. Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud para ese servidor.
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al [modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el *blog de seguridad de AWS *.
**Topics**
+ [Datos en reposo](data-at-rest.md)
+ [Datos en tránsito](data-in-transit.md)
+ [AWS KMS y cifrado de datos en Amazon Monitron](kms-data-encrypt.md)
# Datos en reposo
Sus datos se cifran en reposo en la nube con uno de los dos tipos de claves mediante AWS Key Management Service (AWS KMS). Los datos se cifran en Amazon Simple Storage Service (Amazon S3) mediante una Clave propiedad de AWS. Amazon Monitron también almacena los datos en tablas en Amazon DynamoDB. De forma predeterminada, se cifran mediante una CMK AWS propia. Sin embargo, si un cliente elige **Configuración de cifrado personalizada** al configurar un proyecto, Amazon Monitron utiliza una CMK administrada por el cliente.
Véase también [Uso del cifrado en el lado del servidor para el flujo de Kinesis](monitron-kinesis-export.md#data-export-server-side-encryption).
# Datos en tránsito
Amazon Monitron utiliza seguridad de la capa de transporte (TLS) para cifrar los datos que se transfieren entre sus sensores y Amazon Monitron.
# AWS KMS y cifrado de datos en Amazon Monitron
Amazon Monitron cifra los datos y la información del proyecto mediante uno de los dos tipos de claves mediante AWS Key Management Service ().AWS KMS Puede elegir una de las siguientes opciones:
+ Y. Clave propiedad de AWS Esta es la clave de cifrado predeterminada, que se utiliza si no elige **Configuración de cifrado personalizada** al configurar su proyecto.
+ Una CMK administrada por el cliente. Puedes usar una clave existente en tu AWS cuenta o crear una clave en la AWS KMS consola o mediante la API. Si utiliza una clave existente, **elija Elegir una AWS KMS clave** y, a continuación, elija una clave de la lista de AWS KMS claves o introduzca el nombre de recurso de Amazon (ARN) de otra clave. Si desea crear una clave nueva, elija **Crear una AWS KMS clave**. Para obtener más información, consulte [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *.
Cuando AWS KMS la utilices para cifrar tus datos, ten en cuenta lo siguiente:
+ Sus datos se cifran en reposo en la nube en Amazon S3 y Amazon DynamoDB.
+ Cuando los datos se cifran con una AWS CMK propia, Amazon Monitron usa una CMK independiente para cada cliente.
+ Los usuarios de IAM deben tener los permisos necesarios para realizar llamadas a las operaciones de AWS KMS API relacionadas con Amazon Monitron. Amazon Monitron incluye los siguientes permisos en su política administrada para el uso de la consola.
```
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases",
"kms:CreateGrant"
],
"Resource": "*"
},
```
Para obtener más información, consulte [Uso de políticas de IAM con AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) en la *Guía para desarrolladores de AWS Key Management Service *.
+ Si elimina o deshabilita su CMK, no podrá acceder a los datos. Para obtener más información, consulte [Eliminación de AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *.
# Administración de identidades y accesos para Amazon Monitron
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién se puede *autenticar* (iniciar sesión) y *autorizar* (tener permisos) para utilizar los recursos de Amazon Monitron. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [Público](security_iam_audience.md)
+ [Autenticación con identidades](security_iam_authentication.md)
+ [Administración de acceso mediante políticas](security_iam_access-manage.md)
+ [Cómo funciona Amazon Monitron con IAM](security_iam_service-with-iam.md)
+ [Uso de roles vinculados a servicios para Amazon Monitron](using-service-linked-roles.md)
# Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso de Amazon Monitron](security_iam_service-with-iam.md#security_iam_troubleshoot)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon Monitron con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en identidades de Amazon Monitron](security_iam_service-with-iam.md#security_iam_id-based-policy-examples)).
# Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Cuenta de AWS usuario root](security_iam_authentication-rootuser.md)
+ [Usuarios y grupos de IAM](security_iam_authentication-iamuser.md)
+ [Roles de IAM](security_iam_authentication-iamrole.md)
# Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
# Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
# Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Administración de acceso mediante políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
**Topics**
+ [Políticas basadas en identidad](security_iam_access-manage-id-based-policies.md)
+ [Otros tipos de políticas](security_iam_access-manage-other-policies.md)
+ [Varios tipos de políticas](security_iam_access-manage-multiple-policies.md)
# Políticas basadas en identidad
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
# Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
# Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon Monitron con IAM
Antes de utilizar IAM para administrar el acceso a Amazon Monitron, debe conocer qué características de IAM se encuentran disponibles con Amazon Monitron. *Para obtener una visión general de cómo Amazon Monitron y otros AWS servicios funcionan con IAM, consulte [AWS Servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Políticas basadas en identidades de Amazon Monitron](#security_iam_service-with-iam-id-based-policies)
+ [Políticas basadas en recursos de Amazon Monitron](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas de Amazon Monitron](#security_iam_service-with-iam-tags)
+ [Roles de IAM de Amazon Monitron](#security_iam_service-with-iam-roles)
+ [Ejemplos de políticas basadas en identidades de Amazon Monitron](#security_iam_id-based-policy-examples)
+ [Solución de problemas de identidad y acceso de Amazon Monitron](#security_iam_troubleshoot)
## Políticas basadas en identidades de Amazon Monitron
Para especificar acciones y recursos permitidos o denegados y las condiciones con que se permiten o deniegan acciones, utilice las políticas de IAM basadas en identidades. Amazon Monitron admite acciones, claves de condiciones y recursos específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Acciones](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Claves de condición](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Ejemplos](#security_iam_service-with-iam-id-based-policies-examples)
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
En Amazon Monitron, las acciones de política utilizan el siguiente prefijo antes de la acción: `monitron:`. Por ejemplo, para conceder a alguien permiso para crear un proyecto con la operación `CreateProject` de Amazon Monitron, debe incluir la acción `monitron:CreateProject` en su política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Amazon Monitron define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
**nota**
Con la operación `deleteProject`, debe tener los permisos de AWS IAM Identity Center (SSO) de eliminación. Sin estos permisos, la función de eliminación aún eliminará el proyecto. Sin embargo, no eliminará los recursos de SSO y es posible que acabe con referencias flotantes en SSO.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"monitron:action1",
"monitron:action2"
]
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `List`, incluya la siguiente acción:
```
"Action": "monitron:List*"
```
### Recursos
Amazon Monitron no admite la especificación de recursos ARNs en una política.
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Amazon Monitron define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para obtener una lista de todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del *usuario de IAM*.
Para obtener una lista de claves de condición de Amazon Monitron, consulte [Acciones definidas por Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-actions-as-permissions) en la *Guía del usuario de IAM*. Para obtener más información sobre las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-policy-keys).
### Ejemplos
Para ver ejemplos de políticas basadas en identidades de Amazon Monitron, consulte [Ejemplos de políticas basadas en identidades de Amazon Monitron](#security_iam_id-based-policy-examples).
## Políticas basadas en recursos de Amazon Monitron
Amazon Monitron no admite políticas basadas en recursos.
## Autorización basada en etiquetas de Amazon Monitron
Puede asociar etiquetas a determinados tipos de recursos de Amazon Monitron para autorización. Para controlar el acceso basado en etiquetas, proporcione información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `Amazon Monitron:TagResource/${TagKey}`, `aws:RequestTag/${TagKey}` o `aws:TagKeys`.
## Roles de IAM de Amazon Monitron
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de su AWS cuenta que tiene permisos específicos.
### Uso de credenciales temporales con Amazon Monitron
Puede utilizar credenciales temporales para iniciar sesión con identidad federada, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Amazon Monitron admite el uso de credenciales temporales.
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Amazon Monitron admite roles vinculados a servicios.
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Amazon Monitron admite roles de servicio.
## Ejemplos de políticas basadas en identidades de Amazon Monitron
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar los recursos de Amazon Monitron. Tampoco pueden realizar tareas con. Consola de administración de AWS Un administrador de IAM debe conceder permisos a los usuarios, grupos o roles de IAM que los necesiten. A continuación, estos usuarios, grupos o roles pueden realizar operaciones concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de Amazon Monitron](#security_iam_id-based-policy-examples-console)
+ [Ejemplo: Crear una lista de todos los proyectos de Amazon Monitron](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Ejemplo: Crear lista de proyectos de Amazon Monitron en función de las etiquetas](#security_iam_id-based-policy-examples-view-widget-tags)
### Prácticas recomendadas relativas a políticas
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon Monitron de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
### Uso de la consola de Amazon Monitron
Para configurar Amazon Monitron mediante la consola, complete el proceso de configuración inicial utilizando un usuario con privilegios elevados (como uno con la política administrada `AdministratorAccess` vinculada).
Para acceder a la consola de Amazon Monitron para day-to-day realizar operaciones después de la configuración inicial, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de Amazon Monitron de su AWS cuenta e incluir un conjunto de permisos relacionados con IAM Identity Center. Si crea una política basada en identidades más restrictiva que estos permisos mínimos requeridos, la consola no funcionará según lo previsto para las entidades (roles o usuarios de IAM) con esa política. Para la funcionalidad básica de la consola de Amazon Monitron, debe vincular la política administrada `AmazonMonitronFullAccess`. Según las circunstancias, es posible que también necesite permisos adicionales para las organizaciones y el servicio SSO. Póngase en contacto con AWS el servicio de asistencia si necesita más información.
### Ejemplo: Crear una lista de todos los proyectos de Amazon Monitron
Este ejemplo de política otorga a un usuario de IAM de tu AWS cuenta permiso para publicar todos los proyectos de tu cuenta.
### Ejemplo: Crear lista de proyectos de Amazon Monitron en función de las etiquetas
Puede utilizar condiciones en su política basada en identidades para controlar el acceso a los recursos de Amazon Monitron en función de las etiquetas. Este ejemplo muestra cómo podría crear una política que permita crear una lista de proyectos. Sin embargo, el permiso se concede solo si la etiqueta de proyecto `location` tiene el valor `Seattle`. Esta política también proporciona los permisos necesarios para llevar a cabo esta acción en la consola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListProjectsInConsole",
"Effect": "Allow",
"Action": "monitron:ListProjects",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/location": "Seattle"
}
}
}
]
}
```
------
Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
## Solución de problemas de identidad y acceso de Amazon Monitron
Utilice la siguiente información para diagnosticar y solucionar los problemas habituales que podrían surgir al trabajar con Amazon Monitron e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en Amazon Monitron](#security_iam_troubleshoot-no-permissions)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Amazon Monitron](#security_iam_troubleshoot-cross-account-access)
### No tengo autorización para realizar una acción en Amazon Monitron
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `monitron:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget
```
En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `monitron:GetWidget`.
Si necesitas ayuda, ponte en contacto con tu AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
### Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Amazon Monitron
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan políticas basadas en recursos o listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para informarse de si Amazon Monitron admite estas características, consulte [Cómo funciona Amazon Monitron con IAM](#security_iam_service-with-iam).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de roles vinculados a servicios para Amazon Monitron
[Amazon Monitron utiliza funciones vinculadas a AWS Identity and Access Management servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon Monitron. Amazon Monitron predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a AWS otros servicios en su nombre.
Un rol vinculado a servicios le facilita la configuración de Amazon Monitron dado que no tiene que añadir manualmente los permisos necesarios. Amazon Monitron define los permisos de sus roles vinculados a servicios y, a menos que se defina de otra manera, solo Amazon Monitron puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener más información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestren **Sí** en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Permisos de roles vinculados a servicios para Amazon Monitron](slr-permissions.md)
+ [Creación de un rol vinculado a servicios para Amazon Monitron](create-slr.md)
+ [Edición de un rol vinculado a servicios para Amazon Monitron](edit-slr.md)
+ [Eliminación de un rol vinculado a servicios para Amazon Monitron](delete-slr.md)
+ [Regiones admitidas para los roles vinculados a servicios de Amazon Monitron](slr-regions.md)
+ [AWS políticas gestionadas para Amazon Monitron](monitron-managed-policies.md)
+ [Amazon Monitron actualiza las políticas gestionadas AWS](managed-policy-updates.md)
# Permisos de roles vinculados a servicios para Amazon Monitron
Amazon Monitron utiliza el rol vinculado al servicio denominado **AWSServiceRoleForMonitron[\$1 \$1SUFFIX\$1], que Amazon** Monitron utiliza AWSService RoleForMonitron para acceder a otros AWS servicios, como Cloudwatch Logs, Kinesis Data Streams, claves de KMS y SSO. *Para obtener más información sobre la política, consulte la Guía de referencia de políticas administradas [AWSServiceRoleForMonitronPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForMonitronPolicy.html)AWS *
El rol vinculado al servicio AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] confía en los siguientes servicios para asumir el rol:
+ `monitron.amazonaws.com` o `core.monitron.amazonaws.com`
La política de permisos de roles denominada MonitronServiceRolePolicy permite a Amazon Monitron realizar las siguientes acciones en los recursos especificados:
+ Acción: Amazon CloudWatch Logs `logs:CreateLogStream` y`logs:CreateLogGroup`, `logs:PutLogEvents` en el grupo de registros, el CloudWatch flujo de registro y el registro de eventos en la ruta /aws/monitron/ \$1
La política de permisos de roles denominada MonitronServiceDataExport - KinesisDataStreamAccess permite a Amazon Monitron realizar las siguientes acciones en los recursos especificados:
+ Acción: `kinesis:PutRecord`, `kinesis:PutRecords` y `kinesis:DescribeStream` de Amazon Kinesis en el flujo de datos de Kinesis especificado para la exportación de datos en directo.
+ Acción: Amazon AWS KMS `kms:GenerateDataKey` para la AWS KMS clave utilizada por la transmisión de datos de Kinesis especificada para la exportación de datos en directo
+ Acción: `iam:DeleteRole` de Amazon IAM para eliminar el propio rol vinculado a servicios cuando no se utilice
La política de permisos de roles denominada AWSService RoleForMonitronPolicy permite a Amazon Monitron realizar las siguientes acciones en los recursos especificados:
+ Acción: Centro de identidad de IAM`sso:GetManagedApplicationInstance`,`sso:GetProfile`,`sso:ListProfiles`,`sso:AssociateProfile`, `sso:ListDirectoryAssociations` `sso:ListProfileAssociations` `sso-directory:DescribeUsers` `sso-directory:SearchUsers``sso:CreateApplicationAssignment`, y acceder `sso:ListApplicationAssignments` a los usuarios del Centro de Identidad de IAM asociados al proyecto
**nota**
Añada `sso:ListProfileAssociations` para permitir que Amazon Monitron cree una lista de las asociaciones con la instancia de aplicación subyacente al proyecto de Amazon Monitron.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
# Creación de un rol vinculado a servicios para Amazon Monitron
No necesita crear manualmente un rol vinculado a servicios. Cuando habilita una función que requiere sus permisos para llamar a otros AWS servicios en su nombre en Amazon Monitron Consola de administración de AWS, Amazon Monitron crea el rol vinculado al servicio para usted.
# Edición de un rol vinculado a servicios para Amazon Monitron
Amazon Monitron no le permite editar el rol vinculado al servicio AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
# Eliminación de un rol vinculado a servicios para Amazon Monitron
No necesita eliminar manualmente el rol AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]. Cuando elimina un proyecto de Amazon Monitron que ha creado a través de Amazon Monitron en el, Consola de administración de AWS Amazon Monitron limpia los recursos y elimina el rol vinculado al servicio por usted.
También puede utilizar la consola de IAM AWS CLI o la API para eliminar manualmente el rol vinculado al AWS servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
**nota**
Si el servicio de Amazon Monitron utiliza el rol al intentar eliminar los recursos, es posible que la eliminación falle. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de Amazon Monitron utilizados por el AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]**
+ Elimine los proyectos de Amazon Monitron que utilicen este rol vinculado a servicios.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
# Regiones admitidas para los roles vinculados a servicios de Amazon Monitron
Amazon Monitron admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [AWS Regiones y puntos de conexión](https://docs.aws.amazon.com//general/latest/gr/rande.html#connect_region).
Amazon Monitron no admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Puede utilizar el rol AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] en las siguientes regiones.
****
| Nombre de la región | Identidad de la región | Compatibilidad en Amazon Monitron |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | No |
| Oeste de EE. UU. (Norte de California) | us-west-1 | No |
| Oeste de EE. UU. (Oregón) | us-west-2 | No |
| Asia-Pacífico (Mumbai) | ap-south-1 | No |
| Asia-Pacífico (Osaka) | ap-northeast-3 | No |
| Asia-Pacífico (Seúl) | ap-northeast-2 | No |
| Asia-Pacífico (Singapur) | ap-southeast-1 | No |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | No |
| Canadá (centro) | ca-central-1 | No |
| Europa (Fráncfort) | eu-central-1 | No |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | No |
| Europa (París) | eu-west-3 | No |
| América del Sur (São Paulo) | sa-east-1 | No |
| AWS GovCloud (US) | us-gov-west-1 | No |
# AWS políticas gestionadas para Amazon Monitron
Puede adjuntarlas AmazonMonitronFullAccess a sus entidades de IAM. Esta política otorga permisos *administrativos* que brindan acceso completo a todos los recursos y operaciones de Amazon Monitron.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "monitron.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"monitron:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"monitron.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "AWSSSOPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:ListStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/monitron/*"
}
]
}
```
------
# Amazon Monitron actualiza las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Monitron desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase al canal RSS de la página de historial de documentos de Amazon Monitron.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| AWSServiceRoleForMonitronPolicy - Actualización de una política existente | Se agregó una `sso:CreateApplicationAssignment` y `sso:ListApplicationAssignments` a la [política de permisos de los roles](https://docs.aws.amazon.com/Monitron/latest/user-guide/using-service-linked-roles.html). | 30 de septiembre de 2024 |
| AmazonMonitronFullAccess - Actualización a una política existente | Amazon Monitron agregó permisos para describir y enumerar Kinesis Data Streams y describir, obtener y crear grupos de CloudWatch registros, transmisiones de registros y eventos de registro.Debe usar estos permisos para usar la consola de Amazon Monitron y mostrar información sobre los registros y transmisiones de Kinesis Data Streams. CloudWatch | 8 de junio de 2022 |
# Registro y monitoreo en Amazon Monitron
El monitoreo es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de sus aplicaciones de Amazon Monitron. Para monitorear las acciones de la consola y de la aplicación móvil Amazon Monitron, puede utilizar AWS CloudTrail.
CloudTrail los registros proporcionan un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Amazon Monitron. Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Amazon Monitron, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales. Para obtener más información, consulte [Registrar las acciones de Amazon Monitron con AWS CloudTrail](logging-using-cloudtrail.md).
# Validación de conformidad para Amazon Monitron
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Seguridad de la infraestructura en Amazon Monitron
Como servicio gestionado, Amazon Monitron está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Amazon Monitron a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
# Prácticas recomendadas de seguridad para Amazon Monitron
Amazon Monitron proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
Las siguientes prácticas recomendadas para Amazon Monitron pueden ayudarle a evitar incidentes de seguridad:
+ Al crear un directorio de usuarios AWS IAM Identity Center (IAM Identity Center) para Amazon Monitron, habilite la autenticación multifactor (MFA) para el directorio para mejorar la seguridad del directorio.
+ Tenga en cuenta que todos los administradores de proyectos y sitios que utilicen la aplicación móvil de Amazon Monitron tendrán acceso de lectura a todos los usuarios de su organización que figuren en el directorio de usuarios que elija al configurar su proyecto. Le recomendamos encarecidamente que utilice un directorio aislado si desea limitar el acceso a la información de la organización de usuarios.
+ Debido al peligro de ataques de suplantación de identidad, en los que un atacante envía a sus usuarios un correo electrónico como si fuera un correo electrónico de invitación a un proyecto de Amazon Monitron, advierta a los usuarios que se aseguren de que el nombre del directorio esté visible en la pantalla de inicio de sesión antes de introducir sus credenciales de inicio de sesión.
+ Dado que la aplicación móvil de Amazon Monitron se ejecuta en un teléfono inteligente y tiene acceso a su proyecto, haga que todos los usuarios habiliten el bloqueo de pantalla para proteger el acceso cuando no la utilicen.