Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS App Mesh
**importante**
Aviso de fin de soporte: el 30 de septiembre de 2026, AWS dejaremos de ofrecer soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de conformidad que se aplican a AWS App Mesh, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/). App Mesh es responsable de proporcionar una configuración segura a los proxies locales, lo que incluye secretos como las claves privadas de los certificados TLS.
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. Usted es también responsable de otros factores, entre los que se incluyen:
+ La confidencialidad de los datos, los requisitos de la empresa y los reglamentos y la legislación vigentes.
+ La configuración de seguridad del plano de datos de App Mesh, incluida la configuración de los grupos de seguridad que permiten que el tráfico pase de un servicio a otro de la VPC.
+ La configuración de sus recursos informáticos asociados a App Mesh.
+ Las políticas de IAM asociadas a sus recursos informáticos y la configuración que pueden obtener del plano de control de App Mesh.
Esta documentación lo ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza App Mesh. En los siguientes temas, se explica cómo configurar App Mesh para cumplir sus objetivos de seguridad y conformidad. También aprenderás a usar otros AWS servicios que te ayudan a monitorear y proteger tus recursos de App Mesh.
**Principio de seguridad de App Mesh**
Los clientes deberían poder ajustar la seguridad en la medida en que lo necesiten. La plataforma no debería impedir que sean más seguros. Las características de la plataforma son seguras de forma predeterminada.
**Topics**
+ [seguridad de la capa de transporte (TLS)](tls.md)
+ [Autenticación TLS mutua](mutual-tls.md)
+ [Cómo AWS App Mesh funciona con IAM](security-iam.md)
+ [Registro de llamadas a la AWS App Mesh API mediante AWS CloudTrail](logging-using-cloudtrail.md)
+ [Protección de datos en AWS App Mesh](data-protection.md)
+ [Validación de conformidad para AWS App Mesh](compliance.md)
+ [Seguridad de infraestructura en AWS App Mesh](infrastructure-security.md)
+ [Resiliencia en AWS App Mesh](disaster-recovery-resiliency.md)
+ [Análisis de configuración y vulnerabilidad en AWS App Mesh](configuration-vulnerability-analysis.md)
# seguridad de la capa de transporte (TLS)
**importante**
Aviso de fin de soporte: el 30 de septiembre de 2026, AWS dejaremos de ofrecer soporte a AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
En App Mesh, la seguridad de la capa de transporte (TLS) cifra la comunicación entre los proxies de Envoy implementados en los recursos informáticos que están representados en App Mesh por puntos de conexión de malla como [Nodos virtuales](virtual_nodes.md) y [Puertas de enlace virtuales](virtual_gateways.md). El proxy negocia y finaliza la TLS. Cuando el proxy se implementa con una aplicación, el código de la aplicación no es responsable de negociar una sesión de TLS. El proxy negocia la TLS en nombre de su aplicación.
App Mesh permite proporcionar el certificado TLS al proxy de las siguientes maneras:
+ Un certificado privado de AWS Certificate Manager (ACM) emitido por un AWS Private Certificate Authority (AWS Private CA).
+ Un certificado almacenado en el sistema de archivos local de un nodo virtual emitido por su propia autoridad de certificación (CA)
+ Un certificado proporcionado por un punto de conexión SDS (Secrets Discovery Service) a través de un socket de dominio Unix local.
La [Autorización de proxy de Envoy](proxy-authorization.md) debe estar habilitada para el proxy de Envoy implementado representado por un punto de conexión de malla. Le recomendamos que, al habilitar la autorización del proxy, restrinja el acceso únicamente al punto de conexión de malla para el que esté habilitando el cifrado.
## Requisitos del certificado
Uno de los nombres alternativos del asunto (SANs) del certificado debe cumplir criterios específicos, en función de cómo se descubra el servicio real representado por un punto final de malla.
+ **DNS**: uno de los certificados SANs debe coincidir con el valor proporcionado en la configuración de detección del servicio DNS. Para una aplicación con el nombre de detección de servicios de `mesh-endpoint.apps.local`, puede crear un certificado que coincida con ese nombre o un certificado con el comodín `*.apps.local`.
+ **AWS Cloud Map**— Uno de los certificados SANs debe coincidir con el valor proporcionado en la configuración AWS Cloud Map de detección de servicios utilizando el formato`service-name.namespace-name`. Para una aplicación con la AWS Cloud Map configuración de detección de servicios de ServiceName y `mesh-endpoint` `apps.local` NamespaceName, puede crear un certificado que coincida con el `mesh-endpoint.apps.local` nombre o un certificado con el comodín. `*.apps.local.`
En ambos mecanismos de detección, si ninguno de los certificados SANs coincide con la configuración de detección del servicio DNS, se produce un error en la conexión entre los Envoys y aparece el siguiente mensaje de error, tal y como lo muestra el cliente Envoy.
```
TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
```
## Certificados de autenticación TLS
App Mesh admite varios orígenes para los certificados cuando se utiliza la autenticación TLS.
**AWS Private CA**
El certificado se debe almacenar en ACM en la misma región y cuenta de AWS que el punto de conexión de malla que utilizará el certificado. No es necesario que el certificado de la CA esté en la misma AWS cuenta, pero sí en la misma región que el punto final de malla. Si no tiene una Autoridad de certificación privada de AWS, debe [crear una](https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html) antes de poder solicitarle un certificado. Para obtener más información sobre cómo solicitar un certificado a una empresa existente que AWS Private CA utiliza ACM, consulte [Solicitar un certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html). El certificado no puede ser un certificado público.
El usuario privado CAs que utilice para las políticas de cliente de TLS debe ser un usuario root. CAs
Para configurar un nodo virtual con certificados y CAs desde AWS Private CA, el principal (como un usuario o un rol) que utilices para llamar a App Mesh debe tener los siguientes permisos de IAM:
+ Para cualquier certificado que añada a la configuración de TLS de un oyente, la entidad principal debe tener el permiso `acm:DescribeCertificate`.
+ Para cualquier política de cliente CAs configurada en TLS, el principal debe tener el `acm-pca:DescribeCertificateAuthority` permiso.
Si se comparte CAs con otras cuentas, es posible que se otorguen privilegios no deseados a la CA. Recomendamos utilizar políticas basadas en los recursos para restringir el acceso únicamente a `acm-pca:DescribeCertificateAuthority` y `acm-pca:GetCertificateAuthorityCertificate` para las cuentas que no necesiten emitir certificados de la autoridad de certificación.
Puede añadir estos permisos a una política de IAM existente que esté asociada a una entidad principal o crear una entidad principal y una política nuevas y asociar la política a la entidad principal. Para obtener más información, consulte [Edición de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html), [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) y [Adición de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
Pagas una cuota mensual por el funcionamiento de cada una de ellas AWS Private CA hasta que la elimines. También paga por los certificados privados que emita cada mes y por los certificados privados que exporte. Para más información, consulte [Precios de AWS Certificate Manager](https://aws.amazon.com//certificate-manager/pricing/).
Al habilitar la [autorización de proxy](proxy-authorization.md) para el proxy de Envoy que representa un punto de conexión de malla, se deben asignar los siguientes permisos de IAM al rol de IAM que utilice:
+ Para cualquier certificado configurado en el oyente de un nodo virtual, el rol debe tener el permiso `acm:ExportCertificate`.
+ En el caso de cualquier política de cliente CAs configurada en TLS, la función debe tener el `acm-pca:GetCertificateAuthorityCertificate` permiso.
**Sistema de archivos**
Puede distribuir los certificados a Envoy mediante el sistema de archivos. Para ello, haga que la cadena de certificados y la clave privada correspondiente estén disponibles en la ruta del archivo. De esta forma, se puede obtener acceso a estos recursos a través del proxy sidecar de Envoy.
**Secret Discovery Service (SDS) de Envoy**
Envoy obtiene secretos, por ejemplo, los certificados TLS, de un punto de conexión específico a través del protocolo Secrets Discovery. Para obtener más información sobre este protocolo, consulte la [documentación de SDS](https://www.envoyproxy.io/docs/envoy/latest/configuration/security/secret) de Envoy.
App Mesh configura el proxy de Envoy para que utilice un socket de dominio de Unix local en el proxy para que sirva como punto de conexión de Secret Discovery Service (SDS) cuando SDS sirva de origen para sus certificados y cadenas de certificados. Puede configurar la ruta a este punto de conexión mediante la variable de entorno `APPMESH_SDS_SOCKET_PATH`.
El protocolo Secrets Discovery Service local que utiliza el socket de dominio de Unix es compatible con el proxy de App Mesh Envoy versión 1.15.1.0 y versiones posteriores.
App Mesh es compatible con el protocolo SDS V2 mediante gRPC.
**Integración con el entorno en tiempo de ejecución de SPIFFE (SPIRE)**
Puede utilizar cualquier implementación sidecar de la API de SDS, incluidas las cadenas de herramientas existentes, por ejemplo, el [entorno en tiempo de ejecución de SPIFFE (SPIRE)](https://github.com/spiffe/spire). SPIRE está diseñado para permitir la implementación de la autenticación TLS mutua entre varias cargas de trabajo en sistemas distribuidos. Acredita la identidad de las cargas de trabajo en tiempo de ejecución. SPIRE también ofrece claves y certificados específicos de la carga de trabajo, de corta duración y que rotan automáticamente directamente a las cargas de trabajo.
Debe configurar el agente de SPIRE como proveedor de SDS para Envoy. Permita que suministre directamente a Envoy el material clave que necesita para proporcionar una autenticación TLS mutua. Ejecute los agentes de SPIRE en sidecars junto a los proxies de Envoy. El agente se encarga de volver a generar las claves y certificados de corta duración según sea necesario. El agente acredita a Envoy y determina qué identidades del servicio y certificados de la autoridad de certificación debe poner a disposición de Envoy cuando este se conecte al servidor de SDS expuesto por el agente de SPIRE.
Durante este proceso, las identidades del servicio y los certificados de la autoridad de certificación se rotan y las actualizaciones se transmiten a Envoy. Envoy los aplica inmediatamente a las nuevas conexiones sin interrupciones ni tiempos de inactividad y sin que las claves privadas entren en contacto con el sistema de archivos.
## Cómo App Mesh configura Envoys para negociar TLS
App Mesh utiliza la configuración de punto de conexión de malla tanto del cliente como del servidor para determinar cómo configurar la comunicación entre los Envoys en una malla.
**Con políticas de cliente**
Cuando una política de cliente exige el uso de TLS y uno de los puertos de la política de cliente coincide con el puerto de la política de servidor, la política de cliente se utiliza para configurar el contexto de validación de TLS del cliente. Por ejemplo, si la política de cliente de una puerta de enlace virtual coincide con la política de servidor de un nodo virtual, se intentará negociar TLS entre los proxies utilizando la configuración definida en la política de cliente de la puerta de enlace virtual. Si la política de cliente no coincide con el puerto de la política de servidor, la seguridad TLS entre los proxies puede negociarse o no, según la configuración de TLS de la política de servidor.
**Sin políticas de cliente**
Si el cliente no ha configurado una política de cliente o la política de cliente no coincide con el puerto del servidor, App Mesh utilizará el servidor para determinar si se debe negociar o no la seguridad TLS con el cliente y cómo hacerlo. Por ejemplo, si una puerta de enlace virtual no ha especificado una política de cliente y un nodo virtual no ha configurado la terminación de TLS, la seguridad TLS no se negociará entre los proxies. Si un cliente no ha especificado una política de cliente coincidente y se ha configurado un servidor con los modos `STRICT` o `PERMISSIVE` de TLS, los proxies se configurarán para negociar la seguridad TLS. En función de cómo se hayan proporcionado los certificados para la terminación de TLS, se aplicará el siguiente comportamiento adicional.
+ **Certificados TLS administrados por ACM**: cuando un servidor ha configurado la terminación de TLS mediante un certificado administrado por ACM, App Mesh configura automáticamente los clientes para negociar TLS y validar el certificado con la autoridad de certificación del usuario raíz a la que se encadena el certificado.
+ **Certificados TLS basados en archivos**: cuando un servidor ha configurado la terminación de TLS mediante un certificado del sistema de archivos local del proxy, App Mesh configura automáticamente un cliente para negociar TLS, pero el certificado del servidor no se valida.
**Nombres alternativos de asunto**
Si lo desea, puede especificar una lista de nombres alternativos de sujetos (SANs) en los que pueda confiar. SANs debe estar en formato FQDN o URI. Si SANs se proporcionan, Envoy verificará que el nombre alternativo del sujeto del certificado presentado coincida con uno de los nombres de esta lista.
Si no especificas SANs el punto final de malla, el proxy de Envoy para ese nodo no verifica la SAN en un certificado de cliente del mismo nivel. Si no especificas SANs el punto de conexión de malla de origen, la SAN del certificado proporcionado por el punto de conexión de destino debe coincidir con la configuración de detección del servicio de punto final de malla.
Para obtener más información, consulte App Mesh [TLS: requisitos del certificado](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#virtual-node-tls-prerequisites).
Solo puede usar el comodín SANs si la política de cliente para TLS está establecida en. `not enforced` Si la política de cliente del nodo virtual o la puerta de enlace virtual del cliente está configurada para aplicar TLS, no podrá aceptar un SAN comodín.
## Verificación del cifrado
Una vez que haya activado TLS, puede consultar el proxy de Envoy para confirmar que la comunicación está cifrada. El proxy de Envoy emite estadísticas sobre los recursos que pueden ayudarlo a saber si su comunicación TLS funciona correctamente. Por ejemplo, el proxy de Envoy registra estadísticas sobre el número de protocolos de enlace TLS que ha negociado satisfactoriamente para un punto de conexión de malla específico. Determine cuántos protocolos de enlace de manos TLS satisfactorios hubo para un punto de conexión de malla denominado `my-mesh-endpoint` mediante el siguiente comando.
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep ssl.handshake
```
En el resultado que devolvió el siguiente ejemplo, había tres protocolos de enlace para el punto de conexión de malla, por lo que la comunicación está cifrada.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
El proxy de Envoy también emite estadísticas cuando la negociación de TLS fracasa. Determine si hubo errores de TLS en el punto de conexión de malla.
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep -e "ssl.*\(fail\|error\)"
```
En el resultado que devolvió el ejemplo, no hubo errores en varias estadísticas, por lo que la negociación de TLS se realizó correctamente.
```
listener.0.0.0.0_15000.ssl.connection_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_cert_hash: 0
listener.0.0.0.0_15000.ssl.fail_verify_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_no_cert: 0
listener.0.0.0.0_15000.ssl.ssl.fail_verify_san: 0
```
Para obtener más información sobre las estadísticas de TLS de Envoy, consulte [Estadísticas del oyente de Envoy](https://www.envoyproxy.io/docs/envoy/latest/configuration/listeners/stats).
## Renovación de certificados
**AWS Private CA**
Al renovar un certificado con ACM, el certificado renovado se distribuirá automáticamente a los proxies conectados en un plazo de 35 minutos a partir de la finalización de la renovación. Recomendamos utilizar la renovación administrada para renovar automáticamente los certificados cuando se acerque el final de su período de validez. Para obtener más información, consulte [Renovación gestionada de los certificados de ACM emitidos por Amazon](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) en la Guía del AWS Certificate Manager usuario.
**Su propio certificado**
Al utilizar un certificado del sistema de archivos local, Envoy no volverá a cargar automáticamente el certificado cuando se modifique. Puede reiniciar o volver a implementar el proceso de Envoy para cargar un certificado nuevo. También puede colocar un certificado más reciente en una ruta de archivo diferente y actualizar la configuración del nodo virtual o la puerta de enlace con esa ruta de archivo.
## Configure las cargas de trabajo de Amazon ECS para usar la autenticación TLS con AWS App Mesh
Puede configurar su malla para que utilice la autenticación TLS. Asegúrese de que los certificados estén disponibles para los sidecars proxy de Envoy que añada a sus cargas de trabajo. Puede asociar un volumen de EBS o EFS a su sidecar de Envoy, o puede almacenar y recuperar certificados de AWS Secrets Manager.
+ Si utiliza la distribución de certificados basada en archivos, asocie un volumen de EBS o EFS a su sidecar de Envoy. Asegúrese de que la ruta al certificado y la clave privada coincidan con la que están configurados. AWS App Mesh
+ Si utiliza una distribución basada en SDS, añada un sidecar que implemente la API SDS de Envoy con acceso al certificado.
**nota**
Amazon ECS no admite SPIRE.
## Configure las cargas de trabajo de Kubernetes para usar la autenticación TLS con AWS App Mesh
Puede configurar el AWS App Mesh Controller para Kubernetes para habilitar la autenticación TLS para los backends y los oyentes del servicio de nodo virtual y puerta de enlace virtual. Asegúrese de que los certificados estén disponibles para los sidecars del proxy de Envoy que añada a sus cargas de trabajo. Puede ver un ejemplo de cada tipo de distribución en la sección [tutorial](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html#mtls-walkthrough) de Autenticación TLS mutua.
+ Si utiliza la distribución de certificados basada en archivos, asocie un volumen de EBS o EFS a su sidecar de Envoy. Asegúrese de que la ruta al certificado y a la clave privada coincidan con la ruta configurada en el controlador. Como alternativa, puede usar un Kubernetes Secret que esté montado en el sistema de archivos.
+ Si utiliza una distribución basada en SDS, debe configurar un proveedor SDS local de nodo que implemente la API SDS de Envoy. Envoy conectará con él a través de UDS. Para habilitar la compatibilidad con los mTLS basados en SDS en el AppMesh controlador EKS, defina el `enable-sds` indicador en `true` y proporcione la ruta UDS del proveedor de SDS local al controlador mediante el indicador. `sds-uds-path` Si utiliza helm, debe configurarlos como parte de la instalación del controlador:
```
--set sds.enabled=true
```
**nota**
No podrá utilizar SPIRE para distribuir sus certificados si usa Amazon Elastic Kubernetes Service (Amazon EKS) en modo Fargate.
# Autenticación TLS mutua
**importante**
Aviso de fin de soporte: el 30 de septiembre de 2026, AWS suspenderemos el soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
La autenticación TLS (Seguridad de la capa de transporte) mutua es un componente opcional de TLS que ofrece autenticación bidireccional entre pares. La autenticación TLS mutua añade una capa de seguridad a TLS y permite que sus servicios verifiquen al cliente que realiza la conexión.
El cliente de la relación cliente-servidor también proporciona un certificado X.509 durante el proceso de negociación de la sesión. El servidor utiliza este certificado para identificar y autenticar al cliente. Este proceso ayuda a comprobar si el certificado lo ha emitido una entidad de certificación (CA) de confianza y si el certificado es válido. También utiliza el nombre alternativo del asunto (SAN) en el certificado para identificar al cliente.
Puede habilitar la autenticación TLS mutua para todos los protocolos compatibles con. AWS App Mesh Son TCP, HTTP/1.1, HTTP/2, gRPC.
**nota**
Con App Mesh, puede configurar la autenticación TLS mutua para las comunicaciones entre los proxies de Envoy desde sus servicios. Sin embargo, las comunicaciones entre sus aplicaciones y los proxies de Envoy no están cifradas.
## Certificados de la autenticación TLS mutua
AWS App Mesh admite dos posibles fuentes de certificados para la autenticación TLS mutua. Los certificados de cliente de una política de cliente de TLS y la validación del servidor de una configuración de TLS de oyente se pueden obtener de:
+ **Sistema de archivos**: certificados del sistema de archivos local del proxy de Envoy que se está ejecutando. Para distribuir certificados a Envoy, debe indicar las rutas de los archivos de la cadena de certificados y la clave privada de la API de App Mesh.
+ **El Servicio de Descubrimiento Secreto (SDS) de Envoy:** Bring-your-own sidecars que implementan el SDS y permiten enviar los certificados a Envoy. Entre ellas se incluye el entorno en tiempo de ejecución de SPIFFE (SPIRE).
**importante**
App Mesh no almacena los certificados ni las claves privadas que se utilizan para la autenticación TLS mutua. En su lugar, Envoy los almacena en la memoria.
## Configuración de puntos de conexión de malla
Configure la autenticación TLS mutua para sus puntos de conexión de malla, como nodos virtuales o puertas de enlace. Estos puntos de conexión proporcionan certificados y especifican las autoridades de confianza.
Para ello, es necesario aprovisionar certificados X.509 tanto para el cliente como para el servidor y definir de forma explícita los certificados de las autoridades de confianza en el contexto de la validación tanto de la terminación como del origen de TLS.
**Confianza dentro de una malla**
Los certificados del servidor se configuran en los oyentes de nodos virtuales (terminación de TLS) y los certificados del cliente se configuran en los backends de servicio de nodos virtuales (origen de TLS). Como alternativa a esta configuración, puede definir una política de cliente predeterminada para todos los backends de servicios de un nodo virtual y, a continuación, si hace falta, puede anular esta política para backends específicos según sea necesario. Las puertas de enlace virtuales solo se pueden configurar con una política de cliente predeterminada que se aplique a todos sus backends.
Puede configurar la confianza en diferentes mallas habilitando la autenticación TLS mutua para el tráfico entrante en las puertas de enlace virtuales de ambas mallas.
**Confianza fuera de una red**
Especifique los certificados del servidor en el oyente de puerta de enlace virtual para la terminación de TLS. Configure el servicio externo que se comunica con su puerta de enlace virtual para presentar los certificados del lado del cliente. Los certificados deben proceder de una de las mismas autoridades de certificación (CAs) que utilizan los certificados del servidor en el detector de Virtual Gateway para originar el TLS.
## Migración de los servicios a la autenticación TLS mutua
Siga estas pautas para mantener la conectividad al migrar sus servicios existentes en App Mesh a la autenticación TLS mutua.
**Migración de servicios que se comunican a través de texto sin formato**
1. Habilite el modo `PERMISSIVE` para la configuración de TLS en el punto de conexión del servidor. Este modo permite que el tráfico de texto sin formato se conecte al punto de conexión.
1. Configure la autenticación TLS mutua en su servidor, especificando el certificado del servidor, la cadena de confianza y, opcionalmente, el certificado de confianza. SANs
1. Confirme que la comunicación se realiza a través de una conexión TLS.
1. Configure la autenticación TLS mutua en sus clientes, especificando el certificado del cliente, la cadena de confianza y, opcionalmente, el certificado de confianza. SANs
1. Habilite el modo `STRICT` para la configuración de TLS en el servidor.
**Migración de servicios que se comunican a través de TLS**
1. Configure los ajustes de TLS mutuo en sus clientes, especificando el certificado del cliente y, opcionalmente, el certificado de confianza. SANs El certificado de cliente no se envía a su backend hasta que el servidor de backend lo solicita.
1. Configure los ajustes de TLS mutuo en su servidor, especificando la cadena de confianza y, opcionalmente, la cadena de confianza. SANs Para ello, el servidor solicita un certificado de cliente.
## Verificación de la autenticación TLS mutua
Puede consultar la documentación [Seguridad de la capa de transporte: verificar el cifrado](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#verify-encryption) para saber exactamente cómo Envoy emite estadísticas relacionadas con TLS. Para la autenticación TLS mutua, debe examinar las siguientes estadísticas:
+ `ssl.handshake`
+ `ssl.no_certificate`
+ `ssl.fail_verify_no_cert`
+ `ssl.fail_verify_san`
En conjunto, los dos ejemplos de estadísticas siguientes muestran que todas las conexiones TLS correctas que terminan en el nodo virtual tienen su origen en un cliente que proporcionó un certificado.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
```
listener.0.0.0.0_15000.ssl.no_certificate: 0
```
El siguiente ejemplo de estadística muestra que las conexiones de un nodo de cliente virtual (o puerta de enlace) a un nodo virtual de back-end produjeron un error. El nombre alternativo del sujeto (SAN) que se presenta en el certificado del servidor no coincide con ninguno de los nombres en los que SANs confía el cliente.
```
cluster.cds_egress_my-mesh_my-backend-node_http_9080.ssl.fail_verify_san: 5
```
## Tutoriales de la autenticación TLS mutua de App Mesh
+ [Tutorial de autenticación TLS mutua](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-mutual-tls-file-provided): en este tutorial se describe cómo puede usar la CLI de App Mesh para crear una aplicación en color con autenticación TLS mutua.
+ [Tutorial de TLS mutua basada en SDS de Amazon EKS](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-sds-based): este tutorial explica cómo puede utilizar la autenticación basada en SDS de TLS mutua con Amazon EKS y el entorno en tiempo de ejecución de SPIFFE (SPIRE).
+ [Tutorial de TLS mutua basada en archivos de Amazon EKS](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-file-based): este tutorial explica cómo puede utilizar la autenticación basada en archivos de TLS mutua con Amazon EKS y el entorno en tiempo de ejecución de SPIFFE (SPIRE).
# Cómo AWS App Mesh funciona con IAM
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS dejaremos de ofrecer soporte a. AWS App Mesh Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan a quién se puede *autenticar* (puede iniciar sesión) y *autorizar* (tiene permisos) para utilizar los recursos de App Mesh. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [¿Cómo AWS App Mesh funciona con IAM](security_iam_service-with-iam.md)
+ [AWS App Mesh ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para App Mesh](security-iam-awsmanpol.md)
+ [Uso de roles vinculados a servicios de App Mesh](using-service-linked-roles.md)
+ [Autorización de proxy de Envoy](proxy-authorization.md)
+ [Solución de problemas AWS App Mesh de identidad y acceso](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS App Mesh de identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [¿Cómo AWS App Mesh funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [AWS App Mesh ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# ¿Cómo AWS App Mesh funciona con IAM
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS dejaremos de ofrecer soporte a. AWS App Mesh Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Antes de utilizar IAM para administrar el acceso a App Mesh, debe comprender qué características de IAM están disponibles para su uso con App Mesh. Para obtener una visión general de cómo funcionan App Mesh y otros AWS servicios con IAM, consulte [AWS Servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
**Topics**
+ [Políticas basadas en identidad de App Mesh](#security_iam_service-with-iam-id-based-policies)
+ [Políticas basadas en recursos de App Mesh](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas de App Mesh](#security_iam_service-with-iam-tags)
+ [Roles de IAM de App Mesh](#security_iam_service-with-iam-roles)
## Políticas basadas en identidad de App Mesh
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. App Mesh admite acciones, claves de condición y recursos específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de políticas de App Mesh utilizan el siguiente prefijo antes de la acción: `appmesh:` Por ejemplo, para conceder a alguien permiso para enumerar las mallas de una cuenta con la operación `appmesh:ListMeshes` de la API, incluya la acción `appmesh:ListMeshes` en su política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`.
Para especificar varias acciones de en una única instrucción, sepárelas con comas del siguiente modo.
```
"Action": [
"appmesh:ListMeshes",
"appmesh:ListVirtualNodes"
]
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción.
```
"Action": "appmesh:Describe*"
```
Para ver una lista de las acciones de App Mesh, consulte [Acciones definidas por AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions) en la *Guía del usuario de IAM*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
El recurso `mesh` de App Mesh tiene el siguiente ARN.
```
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
```
Para obtener más información sobre el formato de ARNs, consulte [Amazon Resource Names (ARNs) y AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por ejemplo, para especificar la malla nombrada *apps* en la *Region-code* región de su declaración, utilice el siguiente ARN.
```
arn:aws:appmesh:Region-code:111122223333:mesh/apps
```
Para especificar todas las instancias que pertenecen a una cuenta específica, utilice el carácter comodín (\$1).
```
"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"
```
Algunas acciones de App Mesh, como las empleadas para la creación de recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
En muchas acciones de la API de App Mesh se utilizan varios recursos. Por ejemplo, `CreateRoute` crea una ruta con un destino de nodo virtual, por lo que un usuario de IAM debe tener permisos para usar la ruta y el nodo virtual. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*",
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB"
]
```
Para ver una lista de los tipos de recursos de App Mesh y sus tipos ARNs, consulte [Recursos definidos por AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-resources-for-iam-policies) en la *Guía del usuario de IAM*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Claves de condición
App Mesh admite el uso de algunas claves de condición globales. Para ver todas las claves de condición globales de AWS , consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)en la *Guía del usuario de IAM*. Para ver una lista de las claves de condición globales admitidas por App Mesh, consulte [Claves de condición de AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-policy-keys) en la *Guía del usuario de IAM*. Para saber qué acciones y recursos puede utilizar con una clave de condición, consulte [Acciones definidas por AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Ejemplos
Para ver ejemplos de políticas basadas en identidades de App Mesh, consulte [AWS App Mesh ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos de App Mesh
App Mesh no admite políticas basadas en recursos. Sin embargo, si utilizas el servicio AWS Resource Access Manager (AWS RAM) para compartir una malla entre AWS los servicios, el servicio aplicará a tu malla una política basada en recursos. AWS RAM Para obtener más información, consulte [Otorgar permisos para una malla](sharing.md#sharing-permissions-resource).
## Autorización basada en etiquetas de App Mesh
Puede asociar etiquetas a los recursos de App Mesh o transferirlas en una solicitud a App Mesh. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `appmesh:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información sobre el etiquetado de los recursos de App Mesh, consulte [Etiquetado AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) de recursos.
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Creación de mallas de App Mesh con etiquetas restringidas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Roles de IAM de App Mesh
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos.
### Uso de credenciales temporales con App Mesh
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
App Mesh admite el uso de credenciales temporales.
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
App Mesh admite roles vinculados a servicios. Para obtener más información acerca de cómo crear o administrar roles vinculados a servicios de App Mesh, consulte [Uso de roles vinculados a servicios de App Mesh](using-service-linked-roles.md).
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
App Mesh no admite roles de servicio.
# AWS App Mesh ejemplos de políticas basadas en la identidad
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS dejaremos de ofrecer soporte a. AWS App Mesh Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
De forma predeterminada, los roles y usuarios de IAM no tienen permiso para crear o modificar recursos de App Mesh. Tampoco pueden realizar tareas mediante la AWS API Consola de administración de AWS AWS CLI, o. Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de App Mesh](#security_iam_id-based-policy-examples-console)
+ [Permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Creación de una malla](#policy_example1)
+ [Enumeración y descripción de todas las mallas](#policy_example2)
+ [Creación de mallas de App Mesh con etiquetas restringidas](#security_iam_id-based-policy-examples-view-widget-tags)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en identidades determinan si alguien puede crear, obtener acceso o eliminar los recursos de App Mesh de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos en muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de App Mesh
Para acceder a la AWS App Mesh consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirte enumerar y ver detalles sobre los recursos de App Mesh de tu AWS cuenta. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política. Puede asociar la política administrada `[AWSAppMeshReadOnly](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshReadOnly%24jsonEditor)` a los usuarios. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*.
No necesitas conceder permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
## Permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Creación de una malla
Este ejemplo muestra cómo crear una política que permita a un usuario crear una malla de una cuenta en cualquier región.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "arn:aws:appmesh:*:123456789012:CreateMesh"
}
]
}
```
------
## Enumeración y descripción de todas las mallas
Este ejemplo muestra cómo puede crear una política que permita a un usuario con acceso de solo lectura enumerar o describir todas las mallas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"appmesh:ListMeshes"
],
"Resource": "*"
}
]
}
```
------
## Creación de mallas de App Mesh con etiquetas restringidas
Puede utilizar etiquetas en sus políticas de IAM para controlar qué etiquetas se pueden pasar en la solicitud de IAM. Puede especificar qué pares de clave-valor de etiqueta se pueden añadir, cambiar o eliminar en un rol o usuario de IAM. En este ejemplo se muestra cómo se puede crear una política que permita crear una malla, pero solo si la malla se crea con una etiqueta denominada *teamName* y un valor de. *booksTeam*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/teamName": "booksTeam"
}
}
}
]
}
```
------
También puede asociar esta política al usuario de IAM en su cuenta. Si un usuario intenta crear una malla, esta deberá incluir una etiqueta denominada `teamName` y un valor de `booksTeam`. Si la malla no incluye esta etiqueta ni este valor, no se podrá crear la malla. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
# AWS políticas gestionadas para App Mesh
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS dejaremos de ofrecer soporte a AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Una política AWS administrada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSApp MeshServiceRolePolicy
Puede adjuntar `AWSAppMeshServiceRolePolicy` a sus entidades de IAM. Permite el acceso a AWS los servicios y recursos utilizados o gestionados por AWS App Mesh.
Para ver los permisos de esta política, consulte [AWSAppMeshServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshServiceRolePolicy.html) en la *Referencia de la política administrada de AWS *.
Para obtener información sobre los detalles de los permisos de `AWSAppMeshServiceRolePolicy`, consulte [Permisos de roles vinculados a servicios de App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions).
## AWS política gestionada: AWSApp MeshEnvoyAccess
Puede adjuntar `AWSAppMeshEnvoyAccess` a sus entidades de IAM. Política de App Mesh Envoy para obtener acceso a la configuración del nodo virtual.
Para ver los permisos de esta política, consulte [AWSAppMeshEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshEnvoyAccess.html) en la *Referencia de la política administrada de AWS *.
## AWS política gestionada: AWSApp MeshFullAccess
Puede adjuntar `AWSAppMeshFullAccess` a sus entidades de IAM. Proporciona acceso completo a la AWS App Mesh APIs y Consola de administración de AWS.
Para ver los permisos de esta política, consulte [AWSAppMeshFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshFullAccess.html) en la *Referencia de la política administrada de AWS *.
## AWS política gestionada: AWSApp MeshPreviewEnvoyAccess
Puede adjuntar `AWSAppMeshPreviewEnvoyAccess` a sus entidades de IAM. Política de App Mesh Preview Envoy para obtener acceso a la configuración del nodo virtual.
Para ver los permisos de esta política, consulte [AWSAppMeshPreviewEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewEnvoyAccess.html) en la *Referencia de la política administrada de AWS *.
## AWS política gestionada: AWSApp MeshPreviewServiceRolePolicy
Puede adjuntar `AWSAppMeshPreviewServiceRolePolicy` a sus entidades de IAM. Permite el acceso a AWS los servicios y recursos utilizados o gestionados por AWS App Mesh.
Para ver los permisos de esta política, consulte [AWSAppMeshPreviewServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewServiceRolePolicy.html) en la *Referencia de la política administrada de AWS *.
## AWS política gestionada: AWSApp MeshReadOnly
Puede adjuntar `AWSAppMeshReadOnly` a sus entidades de IAM. Proporciona acceso de solo lectura a y. AWS App Mesh APIs Consola de administración de AWS
Para ver los permisos de esta política, consulte [AWSAppMeshReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshReadOnly.html) en la *Referencia de la política administrada de AWS *.
## AWS App Mesh actualizaciones de las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS App Mesh desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas cuando se produzcan cambios en esta página, suscríbase a la fuente RSS en la página de historial del documento de AWS App Mesh .
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSAppMeshFullAccess](#security-iam-awsmanpol-AWSAppMeshFullAccess)— Política actualizada. | Actualizado `AWSAppMeshFullAccess` para permitir el acceso a la `TagResource` y `UntagResource`APIs. | 24 de abril de 2024 |
| [AWSAppMeshServiceRolePolicy](#security-iam-awsmanpol-AWSAppMeshServiceRolePolicy), [AWSServiceRoleForAppMesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions)— Política actualizada. | Actualizada `AWSServiceRoleForAppMesh` y `AWSAppMeshServiceRolePolicy` para permitir el acceso a la AWS Cloud Map `DiscoverInstancesRevision` API. | 12 de octubre de 2023 |
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
# Uso de roles vinculados a servicios de App Mesh
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS suspenderemos el soporte para. AWS App Mesh Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
AWS App Mesh utiliza funciones AWS Identity and Access Management vinculadas al [servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a App Mesh. App Mesh predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio simplifica la configuración de App Mesh porque ya no tendrá que agregar manualmente los permisos necesarios. App Mesh define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo App Mesh puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de App Mesh, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios de App Mesh
App Mesh usa el rol vinculado al servicio denominado **AWSServiceRoleForAppMesh**: el rol permite a App Mesh llamar a AWS los servicios en tu nombre.
El rol AWSService RoleForAppMesh vinculado al servicio confía en que el `appmesh.amazonaws.com` servicio asuma el rol.
**Detalles del permiso**
+ `servicediscovery:DiscoverInstances`: permite que App Mesh realice acciones en todos los recursos de AWS .
+ `servicediscovery:DiscoverInstancesRevision`‐ Permite que App Mesh complete acciones en todos los AWS recursos.
### AWSServiceRoleForAppMesh
Esta política incluye los permisos siguientes:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudMapServiceDiscovery",
"Effect": "Allow",
"Action": [
"servicediscovery:DiscoverInstances",
"servicediscovery:DiscoverInstancesRevision"
],
"Resource": "*"
},
{
"Sid": "ACMCertificateVerification",
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate"
],
"Resource": "*"
}
]
}
```
------
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado a un servicio para App Mesh
Si creaste una malla después del 5 de junio de 2019 en la Consola de administración de AWS AWS CLI, la o la AWS API, App Mesh creó el rol vinculado al servicio automáticamente. Para que el rol vinculado al servicio se haya creado para usted, la cuenta de IAM que utilizó para crear la malla debe tener asociada la política de IAM [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor) o una política asociada que contenga el permiso `iam:CreateServiceLinkedRole`. Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una malla, App Mesh se encarga de crear de nuevo el rol vinculado al servicio por usted. Si su cuenta solo contiene mallas creadas antes del 5 de junio de 2019 y quiere usar el rol vinculado al servicio con esas mallas, puede crear el rol mediante la consola de IAM.
Puede utilizar la consola de IAM para crear un rol vinculado a servicios con el caso de uso de **App Mesh**. En la AWS CLI o en la AWS API, crea un rol vinculado al servicio con el nombre del servicio. `appmesh.amazonaws.com` Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Modificación de un rol vinculado a un servicio de App Mesh
App Mesh no permite editar el rol AWSService RoleForAppMesh vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a un servicio de App Mesh
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio de App Mesh está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de App Mesh utilizados por AWSService RoleForAppMesh**
1. Elimine todas las [rutas](routes.md) definidas para todos los enrutadores de la malla.
1. Elimine todos los [enrutadores virtuales](virtual_routers.md) de la malla.
1. Elimine todos los [servicios virtuales](virtual_services.md) de la malla.
1. Elimine todos los [nodos virtuales](virtual_nodes.md) de la malla.
1. Elimine la [malla](meshes.md).
Realice los pasos anteriores para todas las mallas de su cuenta.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSService RoleForAppMesh servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para los roles vinculados a servicios de App Mesh
App Mesh admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de App Mesh](https://docs.aws.amazon.com/general/latest/gr/appmesh.html).
# Autorización de proxy de Envoy
**importante**
Aviso de fin de soporte: el 30 de septiembre de 2026, AWS suspenderemos el soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
La autorización de proxy autoriza al proxy de [Envoy](envoy.md) que se ejecuta en una tarea de Amazon ECS, en un pod de Kubernetes que se ejecuta en Amazon EKS o que se ejecuta en una instancia de Amazon EC2 a leer la configuración de uno o varios puntos de conexión de malla desde Envoy Management Service de App Mesh. Para las cuentas de clientes que ya tengan Envoys conectados a su punto de conexión de App Mesh antes del 26/04/2021, se requiere autorización de proxy para los nodos virtuales que utilizan [seguridad de la capa de transporte (TLS)](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html) y para las puertas de enlace virtuales (con o sin TLS). Para las cuentas de clientes que quieran conectar Envoys a su punto de conexión de App Mesh después del 26/04/2021, se requiere la autorización de proxy para todas las funciones de App Mesh. Se recomienda que todas las cuentas de los clientes habiliten la autorización de proxy para todos los nodos virtuales, incluso si no utilizan TLS, para tener una experiencia segura y coherente al utilizar IAM para la autorización de recursos específicos. La autorización de proxy requiere que se especifique el permiso `appmesh:StreamAggregatedResources` en una política de IAM. La política debe estar asociada a un rol de IAM y dicho rol de IAM debe estar asociado al recurso informático en el que se aloja el proxy.
## Creación de una política de IAM
Si desea que todos los puntos de conexión de malla de una malla de servicios puedan leer la configuración de todos los puntos de conexión de malla, vaya a la sección [Creación de un rol de IAM](#create-iam-role). Si desea limitar los puntos de conexión de malla desde los que se puede leer la configuración por puntos de conexión de malla individuales, debe crear una o más políticas de IAM. Se recomienda limitar los puntos de conexión de malla desde los que se puede leer la configuración a solo el proxy de Envoy que se ejecuta en recursos informáticos específicos. Cree una política de IAM y añada el permiso `appmesh:StreamAggregatedResources` a la política. El siguiente ejemplo de política permite configurar los nodos virtuales denominados `serviceBv1` y `serviceBv2` para que se lean en una malla de servicios. No se puede leer la configuración de ningún otro nodo virtual definido en la malla de servicios. Para obtener más información acerca de la creación o edición de políticas de IAM, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) y [Editar políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:StreamAggregatedResources",
"Resource": [
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
]
}
]
}
```
------
Puede crear varias políticas y que cada una restrinja el acceso a diferentes puntos de conexión de malla.
## Creación de un rol de IAM
Si desea que todos los puntos de conexión de malla de una malla de servicios puedan leer la configuración de todos los puntos de conexión de malla, solo tiene que crear un rol de IAM. Si desea limitar los puntos de conexión de malla cuya configuración puedan leer los puntos de conexión de malla individuales, debe crear un rol para cada política que creó en el paso anterior. Siga las instrucciones del recurso informático en el que se ejecuta el proxy.
+ **Amazon EKS**: si quiere usar un único rol, puede usar el rol existente que se creó y asignó a los nodos de trabajo cuando creó el clúster. Para utilizar varios roles, el clúster debe cumplir los requisitos definidos en la sección [Habilitar roles de IAM para las cuentas de servicio de su clúster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html). Cree los roles de IAM y asócielos a las cuentas de servicio de Kubernetes. Para obtener más información, consulte [Creación de una política y un rol de IAM para su cuenta de servicio](https://docs.aws.amazon.com/eks/latest/userguide/create-service-account-iam-policy-and-role.html) y [Especificación de un rol de IAM para su cuenta de servicio](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
+ **Amazon ECS**: seleccione **Servicio de AWS **, elija **Elastic Container Service** y, a continuación, elija el caso de uso **Tarea de Elastic Container Service** al crear su rol de IAM.
+ **Amazon EC2**: seleccione **Servicio de AWS **, elija **EC2** y, a continuación, elija el caso de uso **EC2** al crear su rol de IAM. Esto se aplica tanto si aloja el proxy directamente en una instancia de Amazon EC2 como si se ejecuta en una instancia de Kubernetes.
Para obtener más información sobre cómo crear un rol de IAM, consulte [Creación de un rol para un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
## Asociar una política de IAM
Si desea que todos los puntos de conexión de malla de una malla de servicios puedan leer la configuración de todos los puntos de conexión de malla, asocie la política de IAM administrada `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` al rol de IAM que creó en el paso anterior. Si desea limitar los puntos de conexión de malla cuya configuración puedan leer los puntos de conexión de malla individuales, asocie cada política que haya creado a cada rol que haya creado. Para obtener más información sobre cómo asociar una política de IAM personalizada o administrada a un rol de IAM, consulte [Adición de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
## Asociación de un rol de IAM
Asocie cada rol de IAM al recurso informático correspondiente:
+ **Amazon EKS**: si ha asociado la política al rol asociado a sus nodos de trabajo, puede omitir este paso. Si ha creado roles independientes, asigne cada rol a una cuenta de servicio de Kubernetes independiente y asigne cada cuenta de servicio a una especificación de implementación de un pod de Kubernetes individual que incluya el proxy de Envoy. Para obtener más información, consulte [Especificación de un rol de IAM para su cuenta de servicio](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html) en la *Guía del usuario de Amazon EKS* y [Configurar cuentas de servicio para pods](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) en la documentación de Kubernetes.
+ **Amazon ECS**: asocie un rol de tarea de Amazon ECS a la definición de la tarea que incluya el proxy de Envoy. La tarea se puede implementar con el tipo de lanzamiento de EC2 o Fargate. Para obtener más información sobre cómo crear un rol de tarea de Amazon ECS y asociarlo a una tarea, consulte [Especificar un rol de IAM para sus tareas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html#create_task_iam_policy_and_role).
+ **Amazon EC2**: el rol de IAM se debe asociar a la instancia de Amazon EC2 que aloja el proxy de Envoy. Para obtener más información sobre cómo asociar un rol a una instancia de Amazon EC2, consulte [He creado un rol de IAM y ahora quiero asignarlo a una instancia de EC2](https://aws.amazon.com/premiumsupport/knowledge-center/assign-iam-role-ec2-instance).
## Confirmación del permiso
Confirme que el permiso `appmesh:StreamAggregatedResources` está asignado al recurso informático en el que aloja el proxy seleccionando uno de los nombres del servicio de computación.
------
#### [ Amazon EKS ]
Se puede asignar una política personalizada al rol asignado a los nodos de trabajo, a los pods individuales o a ambos. Sin embargo, se recomienda que asigne la política solo a los pods individuales, de modo que pueda restringir el acceso de los pods individuales a los puntos de conexión de malla individuales. Si la política está asociada al rol asignado a los nodos de trabajo, seleccione la pestaña **Amazon EC2** y realice los pasos indicados para sus instancias de nodo de trabajo. Para determinar qué rol de IAM se asigna a un pod de Kubernetes, realice los pasos siguientes.
1. Consulte los detalles de una implementación de Kubernetes que incluya el pod al que quiere confirmar que está asignada una cuenta de servicio de Kubernetes. El siguiente comando muestra los detalles de una implementación denominada*my-deployment*.
```
kubectl describe deployment my-deployment
```
En el resultado devuelto, anote el valor a la derecha de `Service Account:`. Si no existe una línea que comience por `Service Account:`, significa que actualmente no hay una cuenta de servicio personalizada de Kubernetes asignada a la implementación. Deberá asignar una. Para obtener más información, consulte [Configurar cuentas de servicio de pods](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) en la documentación de Kubernetes.
1. Consulte los detalles de la cuenta de servicio que obtuvo en el paso anterior. El siguiente comando muestra los detalles de una cuenta de servicio denominada*my-service-account*.
```
kubectl describe serviceaccount my-service-account
```
Siempre que la cuenta de servicio de Kubernetes esté asociada a un AWS Identity and Access Management rol, una de las líneas devueltas tendrá un aspecto similar al del ejemplo siguiente.
```
Annotations: eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment
```
En el ejemplo anterior, `my-deployment` es el nombre del rol de IAM al que está asociada la cuenta de servicio. Si el resultado de la cuenta de servicio no contiene una línea similar a la del ejemplo anterior, entonces la cuenta de servicio de Kubernetes no está asociada a ninguna AWS Identity and Access Management cuenta y debes asociarla a una. Para obtener más información, consulte [Especificación de un rol de IAM para su cuenta de servicio](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
1. Inicie sesión en la consola de Consola de administración de AWS IAM y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación izquierdo, seleccione **Roles**. Seleccione el nombre del rol de IAM que anotó en un paso anterior.
1. Confirme que aparece en la lista la política personalizada que creó anteriormente o la política administrada `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)`. Si ninguna de las políticas está asociada, deberá [asociar una política de IAM](#attach-iam-policy) al rol de IAM. Si desea asociar una política de IAM personalizada pero no tiene ninguna, debe [crear una política de IAM personalizada](#create-iam-policy) con los permisos necesarios. Si hay asociada una política de IAM personalizada, selecciónela y confirme que contiene `"Action": "appmesh:StreamAggregatedResources"`. Si no es así, tendrá que añadir ese permiso a su política de IAM personalizada. También puede confirmar que aparece en la lista el Nombre de recurso de Amazon (ARN) adecuado de un punto de conexión de malla específico. ARNs Si no aparece ninguno, puede editar la política para añadir, eliminar o cambiar lo que aparece en la lista ARNs. Para obtener más información, consulte [Editar políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) y [Creación de una política de IAM](#create-iam-policy).
1. Repita los pasos anteriores para cada pod de Kubernetes que contenga el proxy de Envoy.
------
#### [ Amazon ECS ]
1. En la consola de Amazon ECS, elija **Definiciones de tareas**.
1. Seleccione su tarea de Amazon ECS.
1. En la página **Nombre de la definición de tarea**, seleccione la definición de la tarea.
1. En la página **Definición de tarea**, seleccione el enlace del nombre del rol de IAM que está a la derecha de **Rol de tarea**. Si un rol de IAM no aparece en la lista, debe [crear un rol de IAM](#create-iam-role) y asociarlo a su tarea [actualizando la definición de la tarea](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html).
1. En la página **Resumen**, en la pestaña **Permisos**, confirme que aparece la política personalizada que creó anteriormente o la política administrada `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)`. Si ninguna de las dos políticas está asociada, deberá [asociar una política de IAM](#attach-iam-policy) al rol de IAM. Si desea asociar una política de IAM personalizada pero no tiene ninguna, deberá [crear la política de IAM personalizada](#create-iam-policy). Si hay asociada una política de IAM personalizada, selecciónela y confirme que contiene `"Action": "appmesh:StreamAggregatedResources"`. Si no es así, tendrá que añadir ese permiso a su política de IAM personalizada. También puede confirmar que aparece en la lista el Nombre de recurso de Amazon (ARN) adecuado de los puntos de conexión de una malla específica. ARNs Si no aparece ninguna, puede editar la política para añadir, eliminar o cambiar lo que aparece en la lista ARNs. Para obtener más información, consulte [Editar políticas de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html) y [Creación de una política de IAM](#create-iam-policy).
1. Repita los pasos anteriores para cada definición de tarea que contenga el proxy de Envoy.
------
#### [ Amazon EC2 ]
1. En la consola de Amazon EC2, seleccione **Instancias** en el panel de navegación de la izquierda.
1. Seleccione una de las instancias que aloje el proxy de Envoy.
1. En la pestaña **Descripción**, seleccione el enlace del nombre del rol de IAM que está a la derecha del **rol de IAM**. Si un rol de IAM no aparece en la lista, deberá [crear un rol de IAM](#create-iam-role).
1. En la página **Resumen**, en la pestaña **Permisos**, confirme que aparece la política personalizada que creó anteriormente o la política administrada `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)`. Si ninguna de las dos políticas está asociada, deberá [asociar la política de IAM](#attach-iam-policy) al rol de IAM. Si desea asociar una política de IAM personalizada pero no tiene ninguna, deberá [crear la política de IAM personalizada](#create-iam-policy). Si hay asociada una política de IAM personalizada, selecciónela y confirme que contiene `"Action": "appmesh:StreamAggregatedResources"`. Si no es así, tendrá que añadir ese permiso a su política de IAM personalizada. También puede confirmar que aparece en la lista el Nombre de recurso de Amazon (ARN) adecuado de los puntos de conexión de una malla específica. ARNs Si no aparece ninguna, puede editar la política para añadir, eliminar o cambiar lo que aparece en la lista ARNs. Para obtener más información, consulte [Editar políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) y [Creación de una política de IAM](#create-iam-policy).
1. Repita los pasos anteriores para cada instancia en la que aloje el proxy de Envoy.
------
# Solución de problemas AWS App Mesh de identidad y acceso
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS se suspenderá el soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con App Mesh e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en App Mesh](#security_iam_troubleshoot-no-permissions)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de App Mesh](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en App Mesh
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
El siguiente error se produce cuando el usuario de `mateojackson` IAM intenta utilizar la consola para crear un nodo virtual denominado *my-virtual-node* en la malla denominada*my-mesh*, pero no tiene el `appmesh:CreateVirtualNode` permiso.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: appmesh:CreateVirtualNode on resource: arn:aws:appmesh:us-east-1:123456789012:mesh/my-mesh/virtualNode/my-virtual-node
```
En este caso, Mateo pide a su administrador que actualice sus políticas para permitirle crear un nodo virtual mediante la acción `appmesh:CreateVirtualNode`.
**nota**
Como un nodo virtual se crea dentro de una malla, la cuenta de Mateo también necesita las acciones `appmesh:DescribeMesh` y `appmesh:ListMeshes` para crear el nodo virtual en la consola.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de App Mesh
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si App Mesh admite estas características, consulte [¿Cómo AWS App Mesh funciona con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Registro de llamadas a la AWS App Mesh API mediante AWS CloudTrail
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS dejaremos de ofrecer soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
AWS App Mesh está integrado con [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)un servicio que proporciona un registro de las acciones realizadas por un usuario, rol o un Servicio de AWS. CloudTrail captura todas las llamadas a la API de App Mesh como eventos. Las llamadas capturadas incluyen las llamadas desde la consola de App Mesh y las llamadas de código a las operaciones de la API de App Mesh. Con la información recopilada por CloudTrail, puedes determinar la solicitud que se realizó a App Mesh, la dirección IP desde la que se realizó la solicitud, cuándo se realizó y detalles adicionales.
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con las credenciales del usuario raíz o del usuario.
+ Si la solicitud se realizó en nombre de un usuario de IAM Identity Center.
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro Servicio de AWS.
CloudTrail está activa en tu cuenta Cuenta de AWS cuando creas la cuenta y tienes acceso automáticamente al **historial de CloudTrail eventos**. El **historial de CloudTrail eventos** proporciona un registro visible, consultable, descargable e inmutable de los últimos 90 días de eventos de gestión registrados en un. Región de AWS*Para obtener más información, consulte Cómo [trabajar con el historial de CloudTrail eventos en la Guía del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).AWS CloudTrail * La visualización del **historial de eventos** no conlleva ningún CloudTrail cargo.
Para tener un registro continuo de los eventos de Cuenta de AWS los últimos 90 días, crea un almacén de datos de eventos de senderos o [CloudTraillagos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail senderos**
Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. Todos los senderos creados con él Consola de administración de AWS son multirregionales. Puede crear un registro de seguimiento de una sola región o multirregionales mediante la AWS CLI. Se recomienda crear un sendero multirregional, ya que puedes capturar toda la actividad de tu Regiones de AWS cuenta. Si crea un registro de seguimiento de una sola región, solo podrá ver los eventos registrados en la Región de AWS del registro de seguimiento. Para obtener más información acerca de los registros de seguimiento, consulte [Creación de un registro de seguimiento para su Cuenta de AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) y [Creación de un registro de seguimiento para una organización](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) en la *Guía del usuario de AWS CloudTrail *.
Puede enviar una copia de sus eventos de administración en curso a su bucket de Amazon S3 sin coste alguno CloudTrail mediante la creación de una ruta; sin embargo, hay cargos por almacenamiento en Amazon S3. Para obtener más información sobre CloudTrail los precios, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/). Para obtener información acerca de los precios de Amazon S3, consulte [Precios de Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Almacenes de datos de eventos en Lake**
*CloudTrail Lake* le permite ejecutar consultas basadas en SQL en sus eventos. CloudTrail Lake convierte los eventos existentes en formato JSON basado en filas al formato [Apache](https://orc.apache.org/) ORC. ORC es un formato de almacenamiento en columnas optimizado para una recuperación rápida de datos. Los eventos se agregan en *almacenes de datos de eventos*, que son recopilaciones inmutables de eventos en función de criterios que se seleccionan aplicando [selectores de eventos avanzados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Los selectores que se aplican a un almacén de datos de eventos controlan los eventos que perduran y están disponibles para la consulta. Para obtener más información sobre CloudTrail Lake, consulte Cómo [trabajar con AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) en la Guía del *AWS CloudTrail usuario*.
CloudTrail Los almacenes de datos y las consultas sobre eventos de Lake conllevan costes. Cuando crea un almacén de datos de eventos, debe elegir la [opción de precios](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que desee utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el período de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información sobre CloudTrail los precios, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/).
## Eventos de gestión de App Mesh en CloudTrail
[Los eventos de administración](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) proporcionan información sobre las operaciones de administración que se realizan en los recursos de su Cuenta de AWS. Se denominan también operaciones del plano de control. De forma predeterminada, CloudTrail registra los eventos de administración.
AWS App Mesh registra todas las operaciones del plano de control de App Mesh como eventos de administración. Para obtener una lista de las operaciones del plano de AWS App Mesh control en las que App Mesh registra CloudTrail, consulta la [referencia de la AWS App Mesh API](https://docs.aws.amazon.com/app-mesh/latest/APIReference/API_Operations.html).
## Ejemplos de eventos de App Mesh
Un evento representa una solicitud única de cualquier fuente e incluye información sobre la operación de API solicitada, la fecha y la hora de la operación, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que los eventos no aparecen en ningún orden específico.
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que demuestra la `StreamAggregatedResources` acción.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE:d060be4ac3244e05aca4e067bfe241f8",
"arn": "arn:aws:sts::123456789012:assumed-role/Application-TaskIamRole-C20GBLBRLBXE/d060be4ac3244e05aca4e067bfe241f8",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"invokedBy": "appmesh.amazonaws.com"
},
"eventTime": "2021-06-09T23:09:46Z",
"eventSource": "appmesh.amazonaws.com",
"eventName": "StreamAggregatedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "appmesh.amazonaws.com",
"userAgent": "appmesh.amazonaws.com",
"eventID": "e3c6f4ce-EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails": {
"connectionId": "e3c6f4ce-EXAMPLE",
"nodeArn": "arn:aws:appmesh:us-west-2:123456789012:mesh/CloudTrail-Test/virtualNode/cloudtrail-test-vn",
"eventStatus": "ConnectionEstablished",
"failureReason": ""
},
"eventCategory": "Management"
}
```
Para obtener información sobre el contenido de los CloudTrail registros, consulte el [contenido de los CloudTrail registros](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) en la *Guía del AWS CloudTrail usuario*.
# Protección de datos en AWS App Mesh
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS suspenderemos el soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS App Mesh. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utilice SSL/TLS para comunicarse con los recursos. AWS Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con. AWS CloudTrail Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabajas con App Mesh u otro Servicios de AWS mediante la consola AWS CLI, la API o AWS SDKs. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
## Cifrado de datos
Sus datos se cifran cuando utiliza App Mesh.
### Cifrado en reposo
De forma predeterminada, las configuraciones de App Mesh que cree se cifran en reposo.
### Cifrado en tránsito
Los puntos finales del servicio App Mesh utilizan el protocolo HTTPS. Todas las comunicaciones entre el proxy de Envoy y el servicio de administración de App Mesh Envoy están cifradas. Si necesitas un cifrado compatible con FIPS para la comunicación entre el proxy de Envoy y el App Mesh Envoy Management Service, puedes usar una variante FIPS de la imagen del contenedor de proxy de Envoy. Para obtener más información, consulte [Imagen de Envoy](envoy.md).
La comunicación entre contenedores dentro de los nodos virtuales no está cifrada, pero este tráfico no sale del espacio de nombres de la red.
# Validación de conformidad para AWS App Mesh
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS suspenderemos el soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de conformidad específicos, consulte [Servicios de AWS Alcance por programa de conformidad Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) y elija el programa de conformidad que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Seguridad de infraestructura en AWS App Mesh
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS suspenderemos el soporte para. AWS App Mesh Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Como servicio gestionado, AWS App Mesh está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a App Mesh a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Puede mejorar la posición de seguridad de su VPC configurando App Mesh para que utilice un punto de conexión de VPC de interfaz. Para obtener más información, consulte [Puntos finales de VPC de la interfaz App Mesh ()AWS PrivateLink](vpc-endpoints.md).
# Puntos finales de VPC de la interfaz App Mesh ()AWS PrivateLink
**importante**
Aviso de fin de soporte: el 30 de septiembre de 2026, AWS dejaremos de ofrecer soporte para. AWS App Mesh Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Puede mejorar la posición de seguridad de Amazon VPC si configura App Mesh para que utilice un punto de conexión de VPC de interfaz. Los puntos finales de la interfaz funcionan con una tecnología que te permite acceder de forma privada a App Mesh APIs mediante direcciones IP privadas. AWS PrivateLink PrivateLinkrestringe todo el tráfico de red entre tu Amazon VPC y App Mesh a la red de Amazon.
No es necesario que lo configure PrivateLink, pero le recomendamos que lo haga. Para obtener más información sobre los puntos finales de la VPC PrivateLink y su interfaz, consulte [Acceder a](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink) los servicios mediante. AWS PrivateLink
## Consideraciones sobre los puntos finales de VPC de la interfaz App Mesh
Antes de configurar los puntos de conexión de VPC de interfaz para App Mesh, debe tener en cuenta las siguientes consideraciones:
+ Si su Amazon VPC no tiene una puerta de enlace a Internet y sus tareas utilizan el controlador de registro para enviar la información de `awslogs` registro a CloudWatch Logs, debe crear un punto de enlace de VPC de interfaz para Logs. CloudWatch Para obtener más información, consulte [Uso de CloudWatch registros con puntos de enlace de VPC de interfaz](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) en la Guía del usuario de *Amazon CloudWatch Logs*.
+ Los puntos de enlace de VPC no admiten AWS solicitudes entre regiones. Asegúrese de crear su punto de conexión en la misma región en la que tiene previsto realizar llamadas a la API de App Mesh.
+ Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte [Conjuntos de opciones de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) en la *Guía del usuario de Amazon VPC*.
+ El grupo de seguridad asociado al punto de conexión de VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de Amazon VPC.
**nota**
Una conexión de Envoy no admite el control del acceso a App Mesh asociando una política de punto de conexión al punto de conexión de VPC (por ejemplo, utilizando el nombre del servicio `com.amazonaws.Region.appmesh-envoy-management`).
Para conocer otras consideraciones y limitaciones, consulte [Consideraciones sobre la zona de disponibilidad de los puntos de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-availability-zones) y [Propiedades y limitaciones de los puntos de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations).
## Cree el punto final de VPC de la interfaz para App Mesh
Para crear el punto de conexión de VPC de interfaz para el servicio de App Mesh, siga el procedimiento [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la *Guía del usuario de Amazon VPC*. Especifique `com.amazonaws.Region.appmesh-envoy-management` como nombre de servicio para que su proxy de Envoy se conecte al servicio público de administración de Envoy de App Mesh y especifique `com.amazonaws.Region.appmesh` para las operaciones de malla.
**nota**
*Region*representa el identificador de región de una AWS región compatible con App Mesh, como `us-east-2` la región EE.UU. Este (Ohio).
Aunque puede definir un punto de conexión de VPC de interfaz para App Mesh en cualquier región en la que se admita App Mesh, es posible que no pueda definir un punto de conexión para todas las zonas de disponibilidad de cada región. Para saber qué zonas de disponibilidad son compatibles con los puntos finales de la interfaz de VPC en una región, utilice el [describe-vpc-endpoint-services ](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)comando o utilice el. Consola de administración de AWS Por ejemplo, los siguientes comandos devuelven las zonas de disponibilidad en las que puede implementar un punto de conexión de VPC de interfaz de App Mesh dentro de la región Este de EE. UU. (Ohio):
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
```
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'
```
# Resiliencia en AWS App Mesh
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS dejaremos de ofrecer soporte para. AWS App Mesh Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puedes diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
App Mesh ejecuta sus instancias del plano de control en varias zonas de disponibilidad para garantizar una alta disponibilidad. App Mesh detecta y reemplaza automáticamente las instancias del plano de control en mal estado y proporciona actualizaciones de versiones y parches automatizados para ellas.
## Recuperación ante desastres en AWS App Mesh
El servicio de App Mesh gestiona las copias de seguridad de los datos de los clientes. No hay nada que deba hacer para administrar las copias de seguridad. Los datos de la copia de seguridad están cifrados.
# Análisis de configuración y vulnerabilidad en AWS App Mesh
**importante**
Aviso de fin del soporte: el 30 de septiembre de 2026, AWS se interrumpirá el soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visite esta entrada del blog [Migración desde AWS App Mesh a Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
App Mesh vende una [imagen de contenedor de Docker del proxy de Envoy](envoy.md) administrada que puede implementar con sus microservicios. App Mesh garantiza que la imagen del contenedor está parcheada con los parches de vulnerabilidad y rendimiento más recientes. App Mesh prueba las nuevas versiones del proxy de Envoy comparándolas con el conjunto de características de App Mesh antes de poner las imágenes a su disposición.
Debe actualizar sus microservicios para usar la versión actualizada de la imagen del contenedor. La siguiente es la versión más reciente de la imagen.
```
840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.34.13.0-prod
```