Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Políticas basadas en la identidad para AWS AppSync
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS AppSync. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos ARNs por AWS AppSync cada uno de los tipos de recursos, consulte [las claves de condición, recursos y acciones de la Referencia AWS AppSync](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsappsync.html) de *autorización de servicios*.
Para conocer las prácticas recomendadas para crear y configurar políticas de IAM basadas en la identidad, consulte [Prácticas recomendadas sobre políticas de IAM](best-practices.md#security_iam_service-with-iam-policy-best-practices).
Para obtener una lista de las políticas de IAM basadas en la identidad, consulte. AWS AppSync [AWS políticas gestionadas para AWS AppSync](security_iam_policy_list.md)
**Topics**
+ [Uso de la consola AWS AppSync](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Acceso a un bucket de Amazon S3](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Visualización AWS AppSync *widgets* basada en etiquetas](#security_iam_id-based-policy-examples-view-widget-tags)
+ [AWS políticas gestionadas para AWS AppSync](security_iam_policy_list.md)
## Uso de la consola AWS AppSync
Para acceder a la AWS AppSync consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS AppSync recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles de IAM puedan seguir utilizando la AWS AppSync consola, vincule también la política `ReadOnly` AWS gestionada AWS AppSync `ConsoleAccess` o la política gestionada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la AWS CLI API o. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Acceso a un bucket de Amazon S3
En este ejemplo, quiere conceder a un usuario de IAM de su AWS cuenta acceso a uno de sus buckets de Amazon S3,. `examplebucket` También desea permitir al usuario añadir, actualizar o eliminar objetos.
Además de conceder los permisos `s3:PutObject`, `s3:GetObject` y `s3:DeleteObject` al usuario, la política también concede los permisos `s3:ListAllMyBuckets`, `s3:GetBucketLocation` y `s3:ListBucket`. Estos son los permisos adicionales que requiere la consola. Las acciones `s3:PutObjectAcl` y `s3:GetObjectAcl` también son necesarias para poder copiar, cortar y pegar objetos en la consola. Para ver un tutorial de ejemplo en el que se conceden permisos a los usuarios y se prueban con la consola, consulte [Tutorial de ejemplo: uso de las políticas del usuario para controlar el acceso al bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/walkthrough1.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ListBucketsInConsole",
"Effect":"Allow",
"Action":[
"s3:ListAllMyBuckets"
],
"Resource":"arn:aws:s3:::*"
},
{
"Sid":"ViewSpecificBucketInfo",
"Effect":"Allow",
"Action":[
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource":"arn:aws:s3:::examplebucket"
},
{
"Sid":"ManageBucketContents",
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:DeleteObject"
],
"Resource":"arn:aws:s3:::examplebucket/*"
}
]
}
```
------
## Visualización AWS AppSync *widgets* basada en etiquetas
Puede utilizar las condiciones de su política basada en identidad para controlar el acceso a los recursos de AWS AppSync basados en etiquetas. En este ejemplo, se muestra cómo crear una política que permita visualizar una *widget*. Sin embargo, los permisos solo se conceden si el `Owner` de la etiqueta *widget* tiene el valor del nombre de usuario de dicho usuario. Esta política también proporciona los permisos necesarios para llevar a cabo esta acción en la consola.
También puede asociar esta política al usuario de IAM en su cuenta. Si un usuario con el nombre `richard-roe` intenta visualizar un *widget* de AWS AppSync, el *widget* se debe etiquetar como `Owner=richard-roe` o `owner=richard-roe`. De lo contrario, se le deniega el acceso. La clave de la etiqueta de condición `Owner` coincide con los nombres de las claves de condición `Owner` y `owner` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
# AWS políticas gestionadas para AWS AppSync
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para [crear políticas de IAM administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: AWSApp SyncInvokeFullAccess
Utilice la política `AWSAppSyncInvokeFullAccess` AWS gestionada para permitir a los administradores acceder al AWS AppSync servicio a través de la consola o de forma independiente.
Puede adjuntar la política de `AWSAppSyncInvokeFullAccess` a las identidades de IAM.
### Detalles de los permisos
Esta política incluye los siguientes permisos.
+ `AWS AppSync`— Permite el acceso administrativo total a todos los recursos de AWS AppSync
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:GetGraphqlApi",
"appsync:ListGraphqlApis",
"appsync:ListApiKeys"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AWSApp SyncSchemaAuthor
Utilice la política `AWSAppSyncSchemaAuthor` AWS gestionada para permitir a los usuarios de IAM acceder para crear, actualizar y consultar sus esquemas de GraphQL. Para obtener información sobre lo que los usuarios pueden hacer con estos permisos, consulte [Diseñar GraphQL APIs con AWS AppSync](designing-a-graphql-api.md).
Puede adjuntar la política de `AWSAppSyncSchemaAuthor` a las identidades de IAM.
### Detalles de los permisos
Esta política incluye los siguientes permisos.
+ `AWS AppSync`: permite las siguientes acciones.
+ Crear esquemas de GraphQL
+ Permitir crear, modificar y eliminar tipos, solucionadores y funciones de GraphQL
+ Evaluar la lógica de las plantillas de solicitud y respuesta
+ Evaluar código con un tiempo de ejecución y contexto
+ Envío de consultas de GraphQL a GraphQL APIs
+ Recuperar datos de GraphQL
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:GraphQL",
"appsync:CreateResolver",
"appsync:CreateType",
"appsync:DeleteResolver",
"appsync:DeleteType",
"appsync:GetResolver",
"appsync:GetType",
"appsync:GetDataSource",
"appsync:GetSchemaCreationStatus",
"appsync:GetIntrospectionSchema",
"appsync:GetGraphqlApi",
"appsync:ListTypes",
"appsync:ListApiKeys",
"appsync:ListResolvers",
"appsync:ListDataSources",
"appsync:ListGraphqlApis",
"appsync:StartSchemaCreation",
"appsync:UpdateResolver",
"appsync:UpdateType",
"appsync:TagResource",
"appsync:UntagResource",
"appsync:ListTagsForResource",
"appsync:CreateFunction",
"appsync:UpdateFunction",
"appsync:GetFunction",
"appsync:DeleteFunction",
"appsync:ListFunctions",
"appsync:ListResolversByFunction",
"appsync:EvaluateMappingTemplate",
"appsync:EvaluateCode"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AWSApp SyncPushToCloudWatchLogs
AWS AppSync utiliza Amazon CloudWatch para supervisar el rendimiento de su aplicación mediante la generación de registros que puede utilizar para solucionar problemas y optimizar sus solicitudes de GraphQL. Para obtener más información, consulte [Uso CloudWatch para monitorear y registrar datos de la API de GraphQL](monitoring.md).
Utilice la política `AWSAppSyncPushToCloudWatchLogs` AWS gestionada para poder enviar registros AWS AppSync a la cuenta de un usuario de IAM. CloudWatch
Puede adjuntar la política de `AWSAppSyncPushToCloudWatchLogs` a las identidades de IAM.
### Detalles de los permisos
Esta política incluye los siguientes permisos.
+ `CloudWatch Logs`— Permite AWS AppSync crear grupos de registros y flujos con nombres específicos. AWS AppSyncenvía los eventos de registro al flujo de registro especificado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AWSApp SyncAdministrator
Utilice la política `AWSAppSyncAdministrator` AWS gestionada para permitir a los administradores acceder a todas las AWS AppSync aplicaciones excepto a la AWS consola.
Puede adjuntarlas `AWSAppSyncAdministrator` a sus entidades de IAM. AWS AppSync también vincula esta política a un rol de servicio que le permite realizar acciones en su nombre.
### Detalles de los permisos
Esta política incluye los siguientes permisos.
+ `AWS AppSync`— Permite el acceso administrativo total a todos los recursos de AWS AppSync
+ `IAM`: permite las siguientes acciones.
+ Crear funciones vinculadas a los servicios AWS AppSync para poder analizar los recursos de otros servicios en su nombre
+ Eliminar roles vinculados a servicios
+ Transferir las funciones vinculadas al servicio a otros AWS servicios para que las asuman más adelante y realicen acciones en tu nombre
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appsync:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"appsync.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "appsync.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/appsync.amazonaws.com/AWSServiceRoleForAppSync*"
}
]
}
```
------
## AWS política gestionada: AWSApp SyncServiceRolePolicy
Use la política `AWSAppSyncServiceRolePolicy` AWS administrada para permitir el acceso a AWS los servicios y recursos que AWS AppSync usa o administra.
No puede asociar `AWSAppSyncServiceRolePolicy` a sus entidades IAM. Esta política está asociada a un rol vinculado al servicio que permite AWS AppSync realizar acciones en su nombre. Para obtener más información, consulte [Funciones vinculadas al servicio para AWS AppSync](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).
### Detalles de los permisos
Esta política incluye los siguientes permisos.
+ `X-Ray`— se AWS AppSync utiliza AWS X-Ray para recopilar datos sobre las solicitudes realizadas en su solicitud. Para obtener más información, consulte [Se utiliza AWS X-Ray para rastrear las solicitudes en AWS AppSync](x-ray-tracing.md).
Esta política permite las acciones siguientes:
+ Recuperar las reglas de muestreo y sus resultados
+ Enviar datos de seguimiento al daemon X-Ray
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingTargets",
"xray:GetSamplingRules",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
## AWS AppSync actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS AppSync desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS AppSync documento.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor): actualización de una política existente | Se añadió una acción de política de `EvaluateCode` para permitir a los usuarios evaluar código con un tiempo de ejecución y contexto. | 7 de febrero de 2023 |
| [AWSAppSyncSchemaAuthor](#security-iam-awsmanpol-AWSAppSyncSchemaAuthor): actualización de una política existente | Se añadieron acciones de políticas para permitir las funciones de lista, obtención, creación, actualización y eliminación en una API. Se añadió una acción política `EvaluateMappingTemplate` para permitir a los usuarios evaluar la lógica de la plantilla de asignación de solucionadores de solicitudes y respuestas. Se añadieron acciones políticas para permitir el etiquetado de recursos. | 25 de agosto de 2022 |
| AWS AppSync comenzó a rastrear los cambios | AWS AppSync comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 25 de agosto de 2022 |