Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity-based ejemplos de políticas
De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar los recursos de Amazon Connect Decisions. Tampoco pueden realizar tareas mediante la consola de AWS administración, la interfaz de línea de AWS comandos (AWS CLI) o la AWS API. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puede añadir las políticas de IAM a roles y los usuarios pueden asumirlos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la Guía del usuario de IAM.
## Política de administración de instancias (IAM)
A continuación, se muestra la política de IAM necesaria para crear, actualizar o eliminar instancias a través de la consola o la API pública (se excluyen todas las operaciones de la aplicación web).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "scn:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket",
"s3:CreateBucket",
"s3:PutBucketVersioning",
"s3:PutBucketObjectLockConfiguration",
"s3:PutEncryptionConfiguration",
"s3:PutBucketPolicy",
"s3:PutLifecycleConfiguration",
"s3:PutBucketPublicAccessBlock",
"s3:DeleteObject",
"s3:ListAllMyBuckets",
"s3:PutBucketOwnershipControls",
"s3:PutBucketNotification",
"s3:PutAccountPublicAccessBlock",
"s3:PutBucketLogging",
"s3:PutBucketTagging"
],
"Resource": "arn:aws:s3:::aws-supply-chain-*",
"Effect": "Allow"
},
{
"Action": [
"cloudtrail:CreateTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:GetEventSelectors",
"cloudtrail:StartLogging"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"events:DescribeRule",
"events:PutRule",
"events:PutTargets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cloudwatch:PutMetricData",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"organizations:CreateOrganization",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"kms:ListAliases"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:GetRole",
"iam:PutRolePolicy",
"iam:AttachRolePolicy",
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"sso:AssociateDirectory",
"sso:AssociateProfile",
"sso:CreateApplication",
"sso:CreateApplicationAssignment",
"sso:CreateInstance",
"sso:CreateManagedApplicationInstance",
"sso:DeleteApplication",
"sso:DeleteApplicationAssignment",
"sso:DeleteManagedApplicationInstance",
"sso:DescribeApplication",
"sso:DescribeDirectories",
"sso:DescribeInstance",
"sso:DescribeRegisteredRegions",
"sso:DescribeTrusts",
"sso:DisassociateProfile",
"sso:GetManagedApplicationInstance",
"sso:GetPeregrineStatus",
"sso:GetProfile",
"sso:GetSharedSsoConfiguration",
"sso:GetSsoConfiguration",
"sso:GetSSOStatus",
"sso:ListApplicationAssignments",
"sso:ListApplicationTemplates",
"sso:ListDirectoryAssociations",
"sso:ListInstances",
"sso:ListProfileAssociations",
"sso:ListProfiles",
"sso:PutApplicationAuthenticationMethod",
"sso:PutApplicationGrant",
"sso:RegisterRegion",
"sso:SearchDirectoryGroups",
"sso:SearchDirectoryUsers",
"sso:SearchGroups",
"sso:SearchUsers",
"sso:StartPeregrine",
"sso:StartSSO",
"sso:UpdateSsoConfiguration",
"sso-directory:SearchUsers"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
## Prácticas recomendadas sobre las políticas
Identity-based las políticas determinan si alguien puede crear, acceder o eliminar los recursos de Amazon Connect Decisions de su cuenta. Estas acciones pueden generar costos adicionales para su cuenta de AWS . Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para comenzar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas administradas de AWS* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su cuenta de AWS . Se recomienda definir políticas administradas por el cliente de AWS específicas para sus casos de uso a fin de reducir aún más los permisos. Para obtener más información, consulte [las políticas administradas de AWS o las](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) [políticas administradas de AWS para funciones laborales](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede utilizar condiciones para conceder el acceso a las acciones de servicio si se utilizan a través de un AWS servicio específico, por ejemplo. CloudFormation Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Solicite la autenticación multifactor (MFA)**: si se encuentra en una situación en la que necesita un usuario raíz o usuarios de IAM en su cuenta de AWS , active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.