Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS AppFabric
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre AWS usted y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que se ejecuta Servicios de AWS en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de cumplimiento aplicables AWS AppFabric, consulte [AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad y AWS servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por lo Servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AppFabric. Los siguientes temas muestran cómo configurarlo AppFabric para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros Servicios de AWS que le ayuden a supervisar y proteger sus AppFabric recursos.
**Topics**
+ [Protección de datos en AWS AppFabric](data-protection.md)
+ [Gestión de identidad y acceso para AWS AppFabric](security-iam.md)
+ [Validación de conformidad para AWS AppFabric](compliance-validation.md)
+ [Prácticas recomendadas de seguridad para AWS AppFabric](security-best-practices.md)
+ [Resiliencia en AWS AppFabric](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en AWS AppFabric](infrastructure-security.md)
+ [Análisis de configuración y vulnerabilidad en AWS AppFabric](configuration-vulnerability-analysis.md)
# Protección de datos en AWS AppFabric
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS AppFabric. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja AppFabric o Servicios de AWS utiliza la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
**nota**
Para obtener más información sobre la protección de datos en lo que respecta AppFabric a la seguridad, consulte[Procesamiento de datos en AppFabric](productivity-data-processing.md).
## Cifrado en reposo
AWS AppFabric admite el cifrado en reposo, una función de cifrado del lado del servidor que cifra de AppFabric forma transparente todos los datos relacionados con los paquetes de aplicaciones cuando se conservan en el disco y los descifra cuando se accede a los datos. De forma predeterminada, AppFabric cifra los datos mediante un from (). Clave propiedad de AWS AWS Key Management Service AWS KMS También puede optar por cifrar sus datos con su propia clave gestionada por el cliente desde. AWS KMS
Al eliminar una agrupación de aplicaciones, todos sus metadatos se eliminan de forma permanente.
## Cifrado en tránsito
Al configurar un paquete de aplicaciones, puede elegir una clave gestionada por el cliente Clave propiedad de AWS o una clave gestionada por el cliente. Al recopilar y normalizar los datos para una ingesta de registros de auditoría, los AppFabric almacena temporalmente en un bucket intermedio de Amazon Simple Storage Service (Amazon S3) y los cifra con esta clave. Este bucket intermedio se elimina después de 30 días y está sujeto a una política de ciclo de vida de bucket.
AppFabric protege todos los datos en tránsito mediante TLS 1.2 y firma las solicitudes de API con Signature V4. Servicios de AWS AWS
## Administración de claves
AppFabric admite el cifrado de datos con una Clave propiedad de AWS o varias claves gestionadas por el cliente. Le recomendamos que use una clave gestionada por el cliente, ya que esta opción le permite controlar por completo sus datos cifrados. Al elegir una clave gestionada por el cliente, AppFabric adjunta una política de recursos a la clave gestionada por el cliente que le concede acceso a la clave gestionada por el cliente.
### Clave administrada por el cliente
Para crear una clave gestionada por el cliente, siga los pasos para [Creación de claves de KMS de cifrado simétrico](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) que encontrará en la *Guía del desarrollador de AWS KMS *.
## Política de claves
Las políticas de claves controlan el acceso a las claves administradas por el cliente. cliente o a su cuenta y región.Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener información sobre cómo modificar una política de claves, consulte [Creación de una política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-overview.html) en la *Guía del desarrollador de AWS KMS *.
Para usar una clave administrada por el cliente AppFabric, el usuario o rol AWS Identity and Access Management (de IAM) que crea AppFabric los recursos debe tener permiso para usar la clave administrada por el cliente. Le recomendamos que cree una clave que utilice únicamente con AppFabric y añada a sus AppFabric usuarios como usuarios de la clave. Este método limita el alcance del acceso a sus datos. Sus usuarios necesitarán los siguientes permisos:
+ `kms:DescribeKey`
+ `kms:CreateGrant`
+ `kms:GenerateDataKey`
+ `kms:Decrypt`
La AWS KMS consola le guía a través de la creación de una clave con la política de claves adecuada. Para obtener más información acerca de las políticas de claves, consulte [Políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users) en la *Guía para desarrolladores de AWS KMS *.
A continuación se muestra un ejemplo de política de claves que permite:
+ El control Usuario raíz de la cuenta de AWS total de la clave.
+ Los usuarios pueden AppFabric utilizar su clave gestionada por el cliente con AppFabric.
+ Una política de claves para la configuración de una agrupación de aplicaciones en `us-east-1`.
## ¿Cómo se AppFabric utilizan las subvenciones en AWS KMS
AppFabric requiere una concesión para utilizar la clave gestionada por el cliente. Para obtener más información, consulte [Concesiones de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS KMS *.
Al crear un paquete de aplicaciones, AppFabric crea una subvención en tu nombre enviando una `[https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)` solicitud a AWS KMS. Las subvenciones AWS KMS se utilizan para dar AppFabric acceso a una AWS KMS clave de la cuenta de un cliente. AppFabric requiere que la concesión utilice la clave gestionada por el cliente para las siguientes operaciones internas:
+ Envíe `[https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)` solicitudes AWS KMS para generar claves de datos cifradas por su clave gestionada por el cliente.
+ Envíe `[https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)` solicitudes AWS KMS para descifrar las claves de datos cifradas para que puedan usarse para cifrar sus datos y para descifrar los tokens de acceso a las aplicaciones en tránsito.
+ Envíe `[https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html)` solicitudes para cifrar los tokens de acceso AWS KMS a las aplicaciones en tránsito.
A continuación, se muestra un ejemplo de una concesión.
```
{
"KeyId": "arn:aws:kms:us-east-1:111122223333:key/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"GrantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
"Name": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"CreationDate": "2022-10-11T20:35:39+00:00",
"GranteePrincipal": "appfabric.us-east-1.amazonaws.com",
"RetiringPrincipal": "appfabric.us-east-1.amazonaws.com",
"IssuingAccount": "arn:aws:iam::111122223333:root",
"Operations": [
"Decrypt",
"Encrypt",
"GenerateDataKey"
],
"Constraints": {
"EncryptionContextSubset": {
"appBundleArn": "arn:aws:fabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
}
}
},
```
Cuando eliminas un paquete de aplicaciones, AppFabric se retiran las subvenciones emitidas en tu clave gestionada por el cliente.
## Supervisar tus claves de cifrado para AppFabric
Cuando utilizas claves gestionadas por el AWS KMS cliente con AppFabric, puedes utilizar AWS CloudTrail los registros para realizar un seguimiento de las solicitudes que se AppFabric envían a AWS KMS.
A continuación se muestra un ejemplo de un CloudTrail evento registrado cuando se AppFabric utiliza como clave gestionada `CreateGrant` por el cliente.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIGDTESTANDEXAMPLE:SampleUser",
"arn": "arn:aws:sts::111122223333:assumed-role/AssumedRole/SampleUser",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAIGDTESTANDEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/AssumedRole",
"accountId": "111122223333",
"userName": "SampleUser"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-04-28T14:01:33Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-04-28T14:05:48Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-east-1",
"sourceIPAddress": "appfabric.amazonaws.com",
"userAgent": "appfabric.amazonaws.com",
"requestParameters": {
"granteePrincipal": "appfabric.us-east-1.amazonaws.com",
"constraints": {
"encryptionContextSubset": {
"appBundleArn": "arn:aws:appfabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
}
},
"keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLEID",
"retiringPrincipal": "appfabric.us-east-1.amazonaws.com",
"operations": [
"Encrypt",
"Decrypt",
"GenerateDataKey"
]
},
"responseElements": {
"grantId": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"keyId": "arn:aws:kms:us-east-1:111122223333:key/KEY_ID"
},
"additionalEventData": {
"grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
},
"requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"readOnly": false,
"resources": [
{
"accountId": "AWS Internal",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_256_GCM_SHA384",
"clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
}
}
```
# Gestión de identidad y acceso para AWS AppFabric
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AppFabric La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [¿Cómo AWS AppFabric funciona con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad para AWS AppFabric](security_iam_id-based-policy-examples.md)
+ [Uso de roles vinculados a servicios para AppFabric](using-service-linked-roles.md)
+ [AWS políticas gestionadas para AWS AppFabric](security-iam-awsmanpol.md)
+ [Solución de problemas AWS AppFabric de identidad y acceso](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS AppFabric de identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [¿Cómo AWS AppFabric funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para AWS AppFabric](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# ¿Cómo AWS AppFabric funciona con IAM
Antes de utilizar IAM para gestionar el acceso AppFabric, infórmese sobre las funciones de IAM disponibles para su uso. AppFabric
**Funciones de IAM que puede utilizar con AWS AppFabric**
| Característica de IAM | AppFabric soporte |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys) | No |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | No |
| [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo Servicios de AWS funcionan la mayoría de las funciones de IAM AppFabric y otras funciones, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas basadas en la identidad para AppFabric
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para AppFabric
Para ver ejemplos de políticas AppFabric basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS AppFabric](security_iam_id-based-policy-examples.md)
## Políticas basadas en recursos incluidas AppFabric
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Acciones políticas para AppFabric
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de AppFabric acciones, consulte [las acciones definidas AWS AppFabric](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_appfabric.html#your_service-actions-as-permissions) en la *Referencia de autorización del servicio*.
Las acciones políticas AppFabric utilizan el siguiente prefijo antes de la acción:
```
appfabric
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"appfabric:action1",
"appfabric:action2"
]
```
Puede especificar varias acciones utilizando caracteres comodín (`*`). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `List`, incluya la siguiente acción.
```
"Action": "appfabric:List*"
```
Para ver ejemplos de políticas AppFabric basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS AppFabric](security_iam_id-based-policy-examples.md)
## Recursos de políticas para AppFabric
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de AppFabric recursos y sus ARNs correspondientes, consulte [Tipos de recursos definidos AWS AppFabric](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_appfabric.html#your_service-resources-for-iam-policies) en la *Referencia de autorización de servicio*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, [consulte Acciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_appfabric.html#your_service-actions-as-permissions) definidas por. AWS AppFabric
Para ver ejemplos de políticas AppFabric basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS AppFabric](security_iam_id-based-policy-examples.md)
## Claves de condición de la política para AppFabric
**Compatibilidad con claves de condición de políticas específicas del servicio:** no
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de claves de AppFabric condición, consulte las [claves de condición AWS AppFabric en la](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_appfabric.html#your_service-policy-keys) *Referencia de autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por AWS AppFabric](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_appfabric.html#your_service-actions-as-permissions).
Para ver ejemplos de políticas AppFabric basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS AppFabric](security_iam_id-based-policy-examples.md)
## ACLs in AppFabric
**Soporta ACLs**: No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con AppFabric
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Utilizar credenciales temporales con AppFabric
**Compatible con el uso de credenciales temporales:** no
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente al utilizar la federación o al cambiar de función. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Permisos principales entre servicios para AppFabric
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama Servicio de AWS, junto con la solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para AppFabric
**Compatible con roles de servicio:** No
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir AppFabric la funcionalidad. Edite las funciones de servicio solo cuando se AppFabric proporcionen instrucciones para hacerlo.
## Funciones vinculadas al servicio para AppFabric
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre la creación o la administración de funciones AppFabric vinculadas al servicio, consulte. [Uso de roles vinculados a servicios para AppFabric](using-service-linked-roles.md)
# Ejemplos de políticas basadas en la identidad para AWS AppFabric
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AppFabric. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por ellos AppFabric, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [las claves de acción, recursos y condición de la Referencia AWS AppFabric](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_appfabric.html) de *autorización de servicios*.
**Contents**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola AppFabric](#security_iam_id-based-policy-examples-console)
+ [AppFabric para ver ejemplos de políticas de IAM de seguridad](#appfabric-for-security-policy-examples)
+ [Cómo permitir el acceso a las agrupaciones de aplicaciones](#security_iam_id-based-policy-examples-allow-app-bundle-access)
+ [Cómo restringir el acceso a las agrupaciones de aplicaciones](#security_iam_id-based-policy-examples-restrict-app-bundle-access)
+ [Cómo restringir la eliminación o detención de incorporaciones](#security_iam_id-based-policy-examples-restrict-delete-stop-ingestion)
+ [AppFabric para ver ejemplos de políticas de IAM de productividad](#appfabric-for-productivity-policy-examples)
+ [Permiso de acceso de solo lectura a las características de productividad](#security_iam_id-based-policy-examples-productivity-read-only)
+ [Permiso de acceso completo a las características de productividad](#security_iam_id-based-policy-examples-productivity-full-access)
+ [Permita el acceso para crear AppClients](#security_iam_id-based-policy-examples-productivity-create-appclient)
+ [Permita el acceso para obtener detalles de AppClients](#security_iam_id-based-policy-examples-productivity-get-appclient)
+ [Permitir el acceso a la lista AppClients](#security_iam_id-based-policy-examples-productivity-list-appclient)
+ [Permitir el acceso a la actualización AppClients](#security_iam_id-based-policy-examples-productivity-update-appclient)
+ [Permitir el acceso para eliminar AppClients](#security_iam_id-based-policy-examples-productivity-delete-appclient)
+ [Permitir el acceso para autorizar aplicaciones](#security_iam_id-based-policy-examples-productivity-token)
+ [Otros ejemplos de políticas de IAM](#other-iam-policy-examples)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear AppFabric recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola AppFabric
Adjunta la política `AWSAppFabricReadOnlyAccess` AWS gestionada a tus identidades de IAM para concederles permisos de solo lectura para el AppFabric servicio, incluida la AppFabric consola del. Consola de administración de AWS O bien, puedes adjuntar la política `AWSAppFabricFullAccess` AWS gestionada a tus identidades de IAM para concederles un permiso administrativo completo para el servicio. AppFabric Para obtener más información, consulte [AWS políticas gestionadas para AWS AppFabric](security-iam-awsmanpol.md).
## AppFabric para ver ejemplos de políticas de IAM de seguridad
Los siguientes ejemplos de políticas se aplican a las funciones AppFabric de seguridad.
### Cómo permitir el acceso a las agrupaciones de aplicaciones
El siguiente ejemplo de política otorga acceso a los paquetes de aplicaciones del AppFabric servicio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appfabric:StartUserAccessTasks",
"appfabric:BatchGetUserAccessTasks"
],
"Resource": ["arn:aws:appfabric:*:*:appbundle/*"]
}
]
}
```
------
### Cómo restringir el acceso a las agrupaciones de aplicaciones
El siguiente ejemplo de política restringe el acceso a los paquetes de aplicaciones del servicio. AppFabric
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": ["appfabric:*"],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"appfabric:StartUserAccessTasks",
"appfabric:BatchGetUserAccessTasks"
],
"Resource": ["arn:aws:appfabric:*:*:appbundle/*"]
}
]
}
```
------
### Cómo restringir la eliminación o detención de incorporaciones
El siguiente ejemplo de política restringe la eliminación o la interrupción de las ingestas en el servicio. AppFabric
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": ["appfabric:*"],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"appfabric:StopIngestion",
"appfabric:DeleteIngestion",
"appfabric:DeleteIngestionDestination"
],
"Resource": ["arn:aws:appfabric:*:*:appbundle/*"]
}
]
}
```
------
## AppFabric para ver ejemplos de políticas de IAM de productividad
| |
| --- |
| La función AWS AppFabric de productividad está en versión preliminar y está sujeta a cambios. |
Los siguientes ejemplos de políticas se aplican a AppFabric las funciones de productividad.
### Permiso de acceso de solo lectura a las características de productividad
El siguiente ejemplo de política concede acceso de solo lectura a las funciones AppFabric de productividad.
**importante**
Es posible que aparezca un error de acción no válido al agregar esta política en el editor de políticas JSON de la consola de IAM. Esto se debe a que las funciones AppFabric de productividad se encuentran actualmente en versión preliminar. Debe ignorar el error y proceder a crear la política.
### Permiso de acceso completo a las características de productividad
El siguiente ejemplo de política otorga acceso completo a AppFabric las funciones de productividad.
**importante**
Es posible que aparezca un error de acción no válido al agregar esta política en el editor de políticas JSON de la consola de IAM. Esto se debe a que AppFabric las funciones de productividad se encuentran actualmente en versión preliminar. Debe ignorar el error y proceder a crear la política.
### Permita el acceso para crear AppClients
El siguiente ejemplo de política otorga acceso a la creación AppClients. Para obtener más información, consulte [Crear una AppFabric para aumentar la productividad AppClient](getting-started-appdeveloper-productivity.md#create_appclient).
**importante**
Es posible que aparezca un error de acción no válido al agregar esta política en el editor de políticas JSON de la consola de IAM. Esto se debe a que AppFabric las funciones de productividad se encuentran actualmente en versión preliminar. Debe ignorar el error y proceder a crear la política.
### Permita el acceso para obtener detalles de AppClients
El siguiente ejemplo de política otorga acceso para obtener detalles de AppClients. Para obtener más información, consulte [Obtener detalles de un AppClient](manage-appclients.md#get_appclient_details).
**importante**
Es posible que aparezca un error de acción no válido al agregar esta política en el editor de políticas JSON de la consola de IAM. Esto se debe a que AppFabric las funciones de productividad se encuentran actualmente en versión preliminar. Debe ignorar el error y proceder a crear la política.
### Permitir el acceso a la lista AppClients
El siguiente ejemplo de política otorga acceso a la lista AppClients. Para obtener más información, consulte [Obtener detalles de un AppClient](manage-appclients.md#list_appclients).
**importante**
Es posible que aparezca un error de acción no válido al agregar esta política en el editor de políticas JSON de la consola de IAM. Esto se debe a que AppFabric las funciones de productividad se encuentran actualmente en versión preliminar. Debe ignorar el error y proceder a crear la política.
### Permitir el acceso a la actualización AppClients
El siguiente ejemplo de política otorga acceso a la actualización AppClients. Para obtener más información, consulte [Actualizar un AppClient](manage-appclients.md#update_appclient).
**importante**
Es posible que aparezca un error de acción no válido al agregar esta política en el editor de políticas JSON de la consola de IAM. Esto se debe a que AppFabric las funciones de productividad se encuentran actualmente en versión preliminar. Debe ignorar el error y proceder a crear la política.
### Permitir el acceso para eliminar AppClients
El siguiente ejemplo de política otorga acceso a la eliminación AppClients. Para obtener más información, consulte [Actualizar un AppClient](manage-appclients.md#delete_appclient).
**importante**
Es posible que aparezca un error de acción no válido al agregar esta política en el editor de políticas JSON de la consola de IAM. Esto se debe a que AppFabric las funciones de productividad se encuentran actualmente en versión preliminar. Debe ignorar el error y proceder a crear la política.
### Permitir el acceso para autorizar aplicaciones
El siguiente ejemplo de política otorga acceso para autorizar aplicaciones mediante la API del token. Para obtener más información, consulte [Autenticar y autorizar su aplicación](getting-started-appdeveloper-productivity.md#authorize_data_access).
**importante**
Es posible que aparezca un error de acción no válido al agregar esta política en el editor de políticas JSON de la consola de IAM. Esto se debe a que AppFabric las funciones de productividad se encuentran actualmente en versión preliminar. Debe ignorar el error y proceder a crear la política.
## Otros ejemplos de políticas de IAM
### Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Uso de roles vinculados a servicios para AppFabric
AWS AppFabric [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AppFabric Las funciones vinculadas al servicio están predefinidas AppFabric e incluyen todos los permisos que el servicio necesita para llamar a otras personas en su nombre. Servicios de AWS
Un rol vinculado a un servicio facilita la configuración AppFabric , ya que no es necesario añadir manualmente los permisos necesarios. AppFabric define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AppFabric puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AppFabric recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para AppFabric
AppFabric utiliza el rol vinculado al servicio denominado `AWSServiceRoleForAppFabric` — Permite AppFabric colocar datos en un recurso de destino de ingestión, como un bucket de Amazon S3 o una transmisión de entrega de Amazon Data Firehose. También permite colocar datos CloudWatch métricos AppFabric en el espacio de nombres. `AWS/AppFabric`
El rol vinculado al servicio `AWSServiceRoleForAppFabric` depende de los siguientes servicios para asumir el rol:
+ `appfabric.amazonaws.com`
La política de permisos de roles denominada `AWSAppFabricServiceRolePolicy` permite AppFabric realizar las siguientes acciones en los recursos especificados:
+ Acción: `cloudwatch:PutMetricData` en el espacio de nombres `AWS/AppFabric`. Esta acción otorga permiso AppFabric para colocar datos de métricas en el espacio de CloudWatch `AWS/AppFabric` nombres de Amazon. Para obtener más información sobre las AppFabric métricas disponibles en CloudWatch, consulte. [Monitorización AWS AppFabric con Amazon CloudWatch](monitoring-cloudwatch.md)
+ Acción: `s3:PutObject` en un bucket de Amazon S3. Esta acción otorga permiso AppFabric para colocar los datos ingeridos en un bucket de Amazon S3 que especifique.
+ Acción: `firehose:PutRecordBatch` en una transmisión de entrega de Amazon Data Firehose. Esta acción otorga permiso AppFabric para colocar los datos ingeridos en una transmisión de entrega de Amazon Data Firehose que especifique.
Para más información, consulte [Políticas administradas de AWS para AppFabric](security-iam-awsmanpol.md).
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para AppFabric
No necesita crear manualmente un rol vinculado a servicios. Al crear un paquete de AppFabric aplicaciones en la Consola de administración de AWS, la o la AWS API AWS CLI, se AppFabric crea automáticamente el rol vinculado al servicio.
## Editar un rol vinculado a un servicio para AppFabric
AppFabric no permite editar el rol vinculado al `AWSServiceRoleForAppFabric` servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AppFabric
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debes eliminar todos los paquetes de AppFabric aplicaciones para poder eliminar el rol vinculado al servicio.
### Saneamiento de un rol vinculado a servicios
Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol. El rol utiliza los paquetes de aplicaciones que cree. AppFabric Para obtener más información, consulte [Eliminar AWS AppFabric para recursos de seguridad](delete-resources.md).
**nota**
Si el AppFabric servicio utiliza el rol cuando intentas eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
### Eliminar manualmente el rol vinculado al servicio
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al `AWSServiceRoleForAppFabric` servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles para los roles vinculados al servicio AppFabric
AppFabric admite el uso de funciones vinculadas al servicio en todos los lugares en los que el servicio Regiones de AWS esté disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AppFabric ](https://docs.aws.amazon.com/general/latest/gr/appfabric.html) en la *Referencia general de AWS*.
# AWS políticas gestionadas para AWS AppFabric
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas tú mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Servicios de AWS mantener y actualizar las políticas AWS gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS gestionada proporciona acceso de solo lectura a todos Servicios de AWS los recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSAppFabricReadOnlyAccess
Puede asociar la política `AWSAppFabricReadOnlyAccess` a las identidades de IAM. Esta política concede permisos de solo lectura al AppFabric servicio.
**nota**
La `AWSAppFabricReadOnlyAccess` política no concede acceso de solo lectura a las funciones de productividad. AppFabric
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `appfabric`: otorga permiso para obtener una agrupación de aplicaciones, enumerar agrupaciones de aplicaciones, obtener una autorización de aplicación, enumerar autorizaciones de aplicaciones, obtener una incorporación, enumerar las incorporaciones, obtener un destino de incorporación, enumerar los destinos de incorporación y enumerar las etiquetas de recursos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appfabric:GetAppAuthorization",
"appfabric:GetAppBundle",
"appfabric:GetIngestion",
"appfabric:GetIngestionDestination",
"appfabric:ListAppAuthorizations",
"appfabric:ListAppBundles",
"appfabric:ListIngestionDestinations",
"appfabric:ListIngestions",
"appfabric:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AWSAppFabricFullAccess
Puede asociar la política `AWSAppFabricFullAccess` a las identidades de IAM. Esta política concede permisos administrativos al AppFabric servicio.
**importante**
La `AWSAppFabricFullAccess` política no concede acceso a las funciones AppFabric de productividad porque actualmente se encuentran en versión preliminar. Para obtener más información sobre cómo conceder el acceso a las funciones AppFabric de productividad, consulte[AppFabric para ver ejemplos de políticas de IAM de productividad](security_iam_id-based-policy-examples.md#appfabric-for-productivity-policy-examples).
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `appfabric`— Otorga el permiso administrativo completo a AppFabric.
+ `kms`: otorga permiso para enumerar alias.
+ `s3`: otorga permisos para enumerar todos los buckets de Amazon S3 y obtener la ubicación de los buckets.
+ `firehose`— Otorga permiso para enumerar las transmisiones de entrega de Amazon Data Firehose y describir las transmisiones de entrega.
+ `iam`— Otorga permiso para crear el rol `AWSServiceRoleForAppFabric` vinculado al servicio para. AppFabric Para obtener más información, consulte [Uso de roles vinculados a servicios para AppFabric](using-service-linked-roles.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["appfabric:*"],
"Resource": "*"
},
{
"Sid": "KMSListAccess",
"Effect": "Allow",
"Action": ["kms:ListAliases"],
"Resource": "*"
},
{
"Sid": "S3ReadAccess",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets"
],
"Resource": "*"
},
{
"Sid": "FirehoseReadAccess",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:ListDeliveryStreams"
],
"Resource": "*"
},
{
"Sid": "AllowUseOfServiceLinkedRole",
"Effect": "Allow",
"Action": ["iam:CreateServiceLinkedRole"],
"Condition": {
"StringEquals": {"iam:AWSServiceName": "appfabric.amazonaws.com"}
},
"Resource": "arn:aws:iam::*:role/aws-service-role/appfabric.amazonaws.com/AWSServiceRoleForAppFabric"
}
]
}
```
------
## AWS política gestionada: AWSAppFabricServiceRolePolicy
No puede asociar la política `AWSAppFabricServiceRolePolicy` a sus entidades de IAM. Esta política está asociada a un rol vinculado al servicio que permite AppFabric realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios para AppFabric](using-service-linked-roles.md).
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `cloudwatch`— Otorga permiso AppFabric para colocar datos de métricas en el espacio de CloudWatch `AWS/AppFabric` nombres de Amazon. Para obtener más información sobre las AppFabric métricas disponibles en CloudWatch, consulte. [Monitorización AWS AppFabric con Amazon CloudWatch](monitoring-cloudwatch.md)
+ `s3`— Otorga permiso AppFabric para colocar los datos ingeridos en un bucket de Amazon S3 que usted especifique.
+ `firehose`— Otorga permiso AppFabric para incluir los datos ingeridos en una transmisión de entrega de Amazon Data Firehose que especifique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchEmitMetric",
"Effect": "Allow",
"Action": ["cloudwatch:PutMetricData"],
"Resource": "*",
"Condition": {
"StringEquals": {"cloudwatch:namespace": "AWS/AppFabric"}
}
},
{
"Sid": "S3PutObject",
"Effect": "Allow",
"Action": ["s3:PutObject"],
"Resource": "arn:aws:s3:::*/AWSAppFabric/*",
"Condition": {
"StringEquals": {"s3:ResourceAccount": "${aws:PrincipalAccount}"}
}
},
{
"Sid": "FirehosePutRecord",
"Effect": "Allow",
"Action": ["firehose:PutRecordBatch"],
"Resource": "arn:aws:firehose:*:*:deliverystream/*",
"Condition": {
"StringEqualsIgnoreCase": {"aws:ResourceTag/AWSAppFabricManaged": "true"}
}
}
]
}
```
------
## AppFabric actualizaciones de las políticas gestionadas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AppFabric desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre los cambios realizados en esta página, suscríbase a la fuente RSS en la [Página del historial de revisión de AppFabric ](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSAppFabricReadOnlyAccess](#security-iam-awsmanpol-AWSAppFabricReadOnlyAccess): política nueva | AppFabric se agregó una nueva política para conceder permisos de solo lectura al AppFabric servicio. | 27 de junio de 2023 |
| [AWSAppFabricFullAccess](#security-iam-awsmanpol-AWSAppFabricFullAccess): política nueva | AppFabric agregó una nueva política para conceder permisos administrativos al AppFabric servicio. | 27 de junio de 2023 |
| [AWSAppFabricServiceRolePolicy](#security-iam-awsmanpol-AWSAppFabricServiceRolePolicy): política nueva | AppFabric agregó una nueva política para la función `AWSServiceRoleForAppFabric` vinculada al servicio. | 27 de junio de 2023 |
| AppFabric comenzó a rastrear los cambios | AppFabric comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 27 de junio de 2023 |
# Solución de problemas AWS AppFabric de identidad y acceso
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con un AppFabric IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en AppFabric](#security_iam_troubleshoot-no-permissions)
+ [No tengo autorización para realizar iam:PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AppFabric recursos](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en AppFabric
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `appfabric:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: appfabric:GetWidget on resource: my-example-widget
```
En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `appfabric:GetWidget`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No tengo autorización para realizar iam:PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AppFabric.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AppFabric. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AppFabric recursos
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si AppFabric es compatible con estas funciones, consulte. [¿Cómo AWS AppFabric funciona con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Validación de conformidad para AWS AppFabric
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Prácticas recomendadas de seguridad para AWS AppFabric
AWS AppFabric proporciona varias características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no suponen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, plantéeselas como consideraciones útiles en lugar de como normas.
## Cómo supervisar la aplicación sin acceso de administrador
Con el permiso de solo lectura AWS Identity and Access Management (IAM), cualquiera puede integrarse con AppFabric Amazon Quick y otras herramientas de gestión de eventos e información de seguridad (SIEM), como. Splunk Para supervisar la seguridad de las aplicaciones, los datos se envían a un bucket de Amazon Simple Storage Service (Amazon S3) o a un flujo de entrega de Amazon Data Firehose.
## Supervise los eventos AppFabric
Puedes monitorizar AppFabric con CloudWatch las métricas de Amazon. CloudWatch recopila datos de AppFabric cada minuto y los procesa para convertirlos en métricas. Puede configurar alarmas para activar notificaciones cuando las métricas coincidan con los umbrales especificados. Para obtener más información, consulte [Monitorización AWS AppFabric con Amazon CloudWatch](monitoring-cloudwatch.md).
# Resiliencia en AWS AppFabric
La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
[Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Seguridad de la infraestructura en AWS AppFabric
Como servicio gestionado, AWS AppFabric está protegido por los procedimientos de seguridad de red AWS global que se describen en el documento técnico [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Utiliza las llamadas a la API AWS publicadas para acceder a AppFabric través de la red. Los clientes deben ser compatibles con TLS 1.0 o una versión posterior. Recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. O, para generar credenciales de seguridad temporales para firmar solicitudes, puede utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS).
# Análisis de configuración y vulnerabilidad en AWS AppFabric
La configuración y los controles de TI son una responsabilidad compartida entre usted AWS y usted, nuestro cliente. Para obtener más información, consulte el [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/).