Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Batch
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de cumplimiento aplicables AWS Batch, consulte [AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad y AWS servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos vigentes.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS Batch. Los siguientes temas muestran cómo configurarlo AWS Batch para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS Batch recursos.
**Topics**
+ [Identity and Access Management para AWS Batch](security-iam.md)
+ [AWS Batch Políticas, funciones y permisos de IAM](IAM_policies.md)
+ [AWS Batch Función de ejecución de IAM](execution-IAM-role.md)
+ [Creación de una nube virtual privada](create-public-private-vpc.md)
+ [Utilice un punto final de interfaz para acceder AWS Batch](vpc-interface-endpoints.md)
+ [Validación de conformidad para AWS Batch](compliance.md)
+ [Seguridad de la infraestructura en AWS Batch](infrastructure-security.md)
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md)
+ [Registrar las llamadas a la AWS Batch API con AWS CloudTrail](logging-using-cloudtrail.md)
+ [Solucionar problemas de IAM AWS Batch](security_iam_troubleshoot.md)
# Identity and Access Management para AWS Batch
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AWS Batch La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [¿Cómo AWS Batch funciona con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad para AWS Batch](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para AWS Batch](security-iam-awsmanpol.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solucionar problemas de IAM AWS Batch](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [¿Cómo AWS Batch funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para AWS Batch](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# ¿Cómo AWS Batch funciona con IAM
Antes de usar IAM para administrar el acceso AWS Batch, infórmese sobre las funciones de IAM disponibles para su uso. AWS Batch
**Funciones de IAM que puede utilizar con AWS Batch**
| Característica de IAM | AWS Batch soporte |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| Políticas basadas en recursos | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| ACLs | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | Sí |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo AWS Batch funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas basadas en la identidad para AWS Batch
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para AWS Batch
Para ver ejemplos de políticas AWS Batch basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Batch](security_iam_id-based-policy-examples.md)
## Acciones políticas para AWS Batch
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de AWS Batch acciones, consulte [las acciones definidas por AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions) en la *referencia de autorización del servicio*.
Las acciones políticas AWS Batch utilizan el siguiente prefijo antes de la acción:
```
batch
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"batch:action1",
"batch:action2"
]
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "batch:Describe*"
```
Para ver ejemplos de políticas AWS Batch basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Batch](security_iam_id-based-policy-examples.md)
## Recursos de políticas para AWS Batch
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de AWS Batch recursos y sus tipos ARNs, consulte [los recursos definidos por AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-resources-for-iam-policies) en la *Referencia de autorización del servicio*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Claves de condición de la política para AWS Batch
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de claves de AWS Batch condición, consulte las [claves de condición AWS Batch en la](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) *Referencia de autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Control de acceso basado en atributos (ABAC) con AWS Batch
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Utilice credenciales temporales con AWS Batch
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente al utilizar la federación o al cambiar de función. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Permisos principales entre servicios para AWS Batch
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama Servicio de AWS, junto con la solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para AWS Batch
**Compatible con roles de servicio:** sí
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir AWS Batch la funcionalidad. Edite los roles de servicio sólo cuando AWS Batch proporcione orientación para hacerlo.
## Funciones vinculadas al servicio para AWS Batch
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Ejemplos de políticas basadas en la identidad para AWS Batch
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS Batch . Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos AWS Batch, incluido el formato de cada uno de los tipos de recursos, consulte [las claves de condición, recursos y acciones de la Referencia AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html) de *autorización de servicios*. ARNs
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola AWS Batch](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Batch recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola AWS Batch
Para acceder a la AWS Batch consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Batch recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la AWS Batch consola, adjunte también la política `ReadOnly` AWS gestionada AWS Batch `ConsoleAccess` o la política gestionada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gestionadas para AWS Batch
Puedes usar políticas AWS administradas para simplificar la administración del acceso a la identidad de tu equipo y de AWS los recursos aprovisionados. AWS las políticas gestionadas cubren una variedad de casos de uso comunes, están disponibles de forma predeterminada en tu AWS cuenta y se mantienen y actualizan en tu nombre. No puedes cambiar los permisos en las políticas AWS gestionadas. Si necesita una mayor flexibilidad, también puede optar por crear políticas de IAM administradas por el cliente. De esta forma, puede proporcionar a su equipo los recursos aprovisionados solo con los permisos exactos que necesitan.
Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas en su nombre. Periódicamente, AWS los servicios añaden permisos adicionales a una política AWS gestionada. AWS Lo más probable es que las políticas gestionadas se actualicen cuando se lance una nueva función o cuando esté disponible una nueva operación. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Sin embargo, no eliminan los permisos ni anulan los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: **BatchServiceRolePolicy**
El **BatchServiceRolePolicy**rol vinculado al [`AWSServiceRoleForBatch`](using-service-linked-roles.md)servicio utiliza la política de IAM gestionada. Esto le permite AWS Batch realizar acciones en su nombre. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte [Utilizar funciones vinculadas al servicio para AWS Batch](using-service-linked-roles.md).
Esta política permite AWS Batch realizar las siguientes acciones en recursos específicos:
+ `autoscaling`— Permite AWS Batch crear y gestionar los recursos de Amazon EC2 Auto Scaling. AWS Batch crea y administra grupos de Amazon EC2 Auto Scaling para la mayoría de los entornos informáticos.
+ `ec2`— Permite AWS Batch controlar el ciclo de vida de las instancias de Amazon EC2, así como crear y gestionar plantillas y etiquetas de lanzamiento. AWS Batch crea y gestiona las solicitudes de EC2 Spot Fleet para algunos entornos de computación puntual de EC2.
+ `ecs`- Permite AWS Batch crear y gestionar clústeres de Amazon ECS, definiciones de tareas y tareas para la ejecución de trabajos.
+ `eks`- Permite AWS Batch describir el recurso del clúster Amazon EKS para las validaciones.
+ `iam`- Permite AWS Batch validar y transferir las funciones proporcionadas por el propietario a Amazon EC2, Amazon EC2 Auto Scaling y Amazon ECS.
+ `logs`— Permite AWS Batch crear y gestionar grupos de registros y flujos de registros para AWS Batch trabajos.
Para ver el JSON de la política, consulte [BatchServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BatchServiceRolePolicy.html)la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS política gestionada: **AWSBatchServiceRolePolicyForSageMaker**
[`AWSServiceRoleForAWSBatchWithSagemaker`](using-service-linked-roles-batch-sagemaker.md)permite AWS Batch realizar acciones en su nombre. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte [Utilizar funciones vinculadas al servicio para AWS Batch](using-service-linked-roles.md).
Esta política permite AWS Batch realizar las siguientes acciones en recursos específicos:
+ `sagemaker`— Permite AWS Batch gestionar los trabajos de formación en SageMaker IA y otros recursos de SageMaker IA.
+ `iam:PassRole`— Permite AWS Batch transferir las funciones de ejecución definidas por el cliente a la SageMaker IA para la ejecución de las tareas. La limitación de recursos permite transferir funciones a SageMaker los servicios de IA.
Para ver el JSON de la política, consulta la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS política gestionada: **AWSBatchServiceRole**política
La política de permisos de roles denominada **AWSBatchServiceRole** AWS Batch permite realizar las siguientes acciones en recursos específicos:
La política de IAM **AWSBatchServiceRole**gestionada suele ser utilizada por un rol denominado **AWSBatchServiceRole**e incluye los siguientes permisos. Siguiendo el consejo de seguridad estándar de concesión de privilegios mínimos, la política administrada **AWSBatchServiceRole** se puede utilizar como guía. Si alguno de los permisos que se conceden en la política administrada no resulta necesario para su caso de uso, cree una política personalizada y agregue solo los permisos que necesite. Esta política y esta función AWS Batch gestionadas se pueden utilizar con la mayoría de los tipos de entornos informáticos, pero se prefiere el uso de funciones vinculadas al servicio para disfrutar de una experiencia de gestión menos propensa a errores, con mejor alcance y mejor gestionada.
+ `autoscaling`— Permite AWS Batch crear y gestionar los recursos de Amazon EC2 Auto Scaling. AWS Batch crea y administra grupos de Amazon EC2 Auto Scaling para la mayoría de los entornos informáticos.
+ `ec2`— Permite AWS Batch gestionar el ciclo de vida de las instancias de Amazon EC2, así como crear y gestionar plantillas y etiquetas de lanzamiento. AWS Batch crea y gestiona las solicitudes de EC2 Spot Fleet para algunos entornos de computación puntual de EC2.
+ `ecs`- Permite AWS Batch crear y gestionar clústeres de Amazon ECS, definiciones de tareas y tareas para la ejecución de trabajos.
+ `iam`- Permite AWS Batch validar y transferir las funciones proporcionadas por el propietario a Amazon EC2, Amazon EC2 Auto Scaling y Amazon ECS.
+ `logs`— Permite AWS Batch crear y gestionar grupos de registros y flujos de registros para AWS Batch trabajos.
Para ver el JSON de la política, consulte [AWSBatchServiceRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRole.html)la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS política gestionada: **AWSBatchFullAccess**
La **AWSBatchFullAccess**política otorga a AWS Batch las acciones pleno acceso a AWS Batch los recursos. También otorga acceso a las acciones de descripción y lista para los servicios de Amazon EC2, Amazon ECS CloudWatch, Amazon EKS e IAM. Esto permite que las identidades de IAM, ya sean usuarios o roles, puedan ver los recursos AWS Batch administrados que se crearon en su nombre. Por último, esta política también permite transferir determinados roles de IAM a esos servicios.
Puede adjuntarlos **AWSBatchFullAccess**a sus entidades de IAM. AWS Batch también vincula esta política a un rol de servicio que le permite AWS Batch realizar acciones en su nombre.
Para ver el JSON de la política, consulta la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS Batch actualizaciones de las políticas AWS gestionadas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas AWS Batch desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS Batch documento.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| ****[ AWSBatchServiceRolePolicyForSageMaker](using-service-linked-roles-batch-sagemaker.md)****política agregada | Se ha añadido una nueva política AWS gestionada para la función ** AWSBatchServiceRolePolicyForSageMaker**vinculada al servicio que permite AWS Batch gestionar la SageMaker IA en tu nombre. | 31 de julio de 2025 |
| ****[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)****política actualizada | Se ha actualizado para agregar asistencia al describir el historial de solicitudes y las actividades Amazon EC2 Auto Scaling de la flota de spot. | 5 de diciembre de 2023 |
| ****[AWSBatchServiceRole](#security-iam-awsmanpol-AWSBatchServiceRolePolicy)****política agregada | Se actualizó para agregar una declaración IDs, otorgar AWS Batch permisos `ec2:DescribeSpotFleetRequestHistory` y`autoscaling:DescribeScalingActivities`. | 5 de diciembre de 2023 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**política actualizada | Se actualizó para añadir compatibilidad con la descripción de los clústeres de Amazon EKS. | 20 de octubre de 2022 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**política actualizada | Se actualizó para añadir compatibilidad con el listado y la descripción de los clústeres de Amazon EKS. | 20 de octubre de 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**política actualizada | Se actualizó para añadir compatibilidad con los grupos de reserva de capacidad de Amazon EC2 gestionados por Grupos de recursos de AWS. Para obtener más información, consulte [Trabajar con grupos de reservas de capacidad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-cr-group.html) en la *Guía del usuario de Amazon EC2*. | 18 de mayo de 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**y **[AWSBatchServiceRole](using-service-linked-roles.md)**políticas actualizadas | Se ha actualizado para añadir compatibilidad con la descripción del estado de las instancias AWS Batch gestionadas en Amazon EC2, de forma que se sustituyan las instancias en mal estado. | 6 de diciembre de 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**política actualizada | Se actualizó para añadir compatibilidad con los recursos de grupos de ubicación, reserva de capacidad, GPU elástica y Elastic Inference en Amazon EC2. | 26 de marzo de 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**política agregada | Con la política **BatchServiceRolePolicy**administrada para el rol **AWSServiceRoleForBatch**vinculado al servicio, puede usar un rol vinculado al servicio administrado por. AWS Batch Con esta política, no necesita mantener su propio rol para usarlo en sus entornos de computación. | 10 de marzo de 2021 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**- añadir permiso para añadir un rol vinculado al servicio | Añada permisos de IAM para poder añadir el rol **AWSServiceRoleForBatch**vinculado al servicio a la cuenta. | 10 de marzo de 2021 |
| AWS Batch comenzó a rastrear los cambios | AWS Batch comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 10 de marzo de 2021 |
# AWS Batch Políticas, funciones y permisos de IAM
De forma predeterminada, los usuarios no tienen permiso para crear o modificar AWS Batch recursos ni para realizar tareas mediante la AWS Batch API, la AWS Batch consola o la AWS CLI. Para permitir a los usuarios trabajar con estos recursos, debe crear políticas de IAM que concedan permisos para utilizar recursos específicos y acciones de la API. A continuación, asocie esas políticas a los usuarios o grupos que necesiten esos permisos.
Cuando se adjunta una política a un usuario o grupo de usuarios, la política permite o deniega los permisos para realizar tareas específicas en recursos específicos. Para obtener más información, consulte [Permisos y políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) en la *Guía del usuario de IAM*. Para obtener más información sobre cómo crear y administrar políticas personalizadas de IAM, consulte [Administración de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
AWS Batch hace llamadas a otras personas Servicios de AWS en tu nombre. Como resultado, AWS Batch debe autenticarse con sus credenciales. Más específicamente, AWS Batch se autentica mediante la creación de una función y una política de IAM que proporcionen estos permisos. A continuación, asocia el rol a sus entornos de computación al crearlos. *Para obtener más información, consulte Funciones de [IAM[Rol de instancia de Amazon ECS](instance_IAM_role.md), Uso de funciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html) [vinculadas a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) y [Creación de una función para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la Guía del usuario de IAM.*
**Topics**
+ [Estructura de la política de IAM](iam-policy-structure.md)
+ [Recurso: ejemplos de políticas para AWS Batch](ExamplePolicies_BATCH.md)
+ [Recurso: política AWS Batch gestionada](batch_managed_policies.md)
# Estructura de la política de IAM
En los siguientes temas se explica la estructura de una política de IAM.
**Topics**
+ [Sintaxis de la política](#policy-syntax)
+ [Acciones de API para AWS Batch](#UsingWithbatch_Actions)
+ [Nombres de recursos de Amazon para AWS Batch](#batch_ARN_Format)
+ [Comprobación de que los usuarios tienen los permisos necesarios](#check-required-permissions)
## Sintaxis de la política
Una política de IAM es un documento JSON que contiene una o varias instrucciones. Cada instrucción tiene la estructura siguiente.
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Una instrucción está compuesta por cuatro elementos principales:
+ **Effect:** el valor de *effect* puede ser `Allow` o `Deny`. Por defecto, los usuarios no tienen permiso para utilizar recursos y acciones de la API. De este modo, se deniegan todas las solicitudes. Si se concede un permiso explícito se anula el valor predeterminado. Una denegación explícita invalida cualquier permiso concedido.
+ **Acción**: La *acción* es la acción específica de la API para la que está concediendo o denegando el permiso. Para obtener instrucciones acerca de cómo especificar la *acción*, consulte [Acciones de API para AWS Batch](#UsingWithbatch_Actions).
+ **Resource**: el recurso al que afecta la acción. Con algunas acciones de la API de AWS Batch , puede incluir recursos específicos en su política que pueden ser creados o modificados por la acción. Para especificar un recurso en la instrucción se utiliza el nombre de recurso de Amazon (ARN). Para obtener más información, consulte [Se admiten permisos a nivel de recursos para AWS Batch las acciones de la API](batch-supported-iam-actions-resources.md) y [Nombres de recursos de Amazon para AWS Batch](#batch_ARN_Format). Si la operación de la AWS Batch API actualmente no admite permisos a nivel de recursos, incluye un comodín (\$1) para especificar que la acción puede afectar a todos los recursos.
+ **Condition**: las condiciones son opcionales. Se pueden usar para controlar cuándo está en vigor la política.
Para obtener más información sobre ejemplos de declaraciones de política de IAM, consulte. AWS Batch[Recurso: ejemplos de políticas para AWS Batch](ExamplePolicies_BATCH.md)
## Acciones de API para AWS Batch
En una instrucción de política de IAM, puede especificar cualquier acción de API de cualquier servicio que sea compatible con IAM. Para AWS Batch, utilice el siguiente prefijo con el nombre de la acción de la API: `batch:` (por ejemplo, `batch:SubmitJob` y`batch:CreateComputeEnvironment`).
Para especificar varias acciones en una única sentencia, separe cada acción con una coma.
```
"Action": ["batch:action1", "batch:action2"]
```
También puede especificar varias acciones mediante un comodín (\$1). Por ejemplo, puede especificar todas las acciones cuyo nombre empiece por la palabra “Describe”.
```
"Action": "batch:Describe*"
```
Para especificar todas las acciones AWS Batch de la API, incluye un comodín (\$1).
```
"Action": "batch:*"
```
Para ver una lista de AWS Batch acciones, consulta la sección [Acciones](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) en la *referencia de la AWS Batch API*.
## Nombres de recursos de Amazon para AWS Batch
Cada declaración de política de IAM se aplica a los recursos que especifique mediante sus nombres de recursos de Amazon (ARNs).
Un Nombre de recurso de Amazon (ARN) tiene la siguiente sintaxis general:
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*service*
El servicio (por ejemplo, `batch`).
*region*
La del Región de AWS recurso (por ejemplo,`us-east-2`).
*account*
El Cuenta de AWS ID, sin guiones (por ejemplo,`123456789012`).
*resourceType*
El tipo de recurso (por ejemplo, `compute-environment`).
*resourcePath*
Una ruta que identifica al recurso. Puede utilizar un comodín (\$1) en sus rutas.
AWS Batch En la actualidad, las operaciones de la API admiten permisos a nivel de recursos en varias operaciones de la API. Para obtener más información, consulte [Se admiten permisos a nivel de recursos para AWS Batch las acciones de la API](batch-supported-iam-actions-resources.md). Para especificar todos los recursos, o si una acción específica de la API no es compatible ARNs, incluye un comodín (\$1) en el elemento. `Resource`
```
"Resource": "*"
```
## Comprobación de que los usuarios tienen los permisos necesarios
Antes de poner una política de IAM en producción, asegúrese de que concede a los usuarios los permisos para utilizar las acciones y recursos específicos de la API que necesitan.
Para ello, cree primero un usuario de prueba y adjúntele la política de IAM. A continuación, realice una solicitud como usuario de prueba. Puede realizar solicitudes de prueba en la consola o con la AWS CLI.
**nota**
También puede probar las políticas con el [Simulador de política de IAM](https://policysim.aws.amazon.com/home/index.jsp?#). Para obtener más información sobre el simulador de políticas, consulte [Trabajar con el simulador de política de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) en la *Guía del usuario de IAM*.
Si la política no concede los permisos previstos al usuario o es demasiado permisiva, puede ajustarla según sea necesario. Repita las pruebas hasta obtener el resultado deseado.
**importante**
Puede que los cambios en la política tarden varios minutos en propagarse y surtir efecto. Por lo tanto, le recomendamos que deje pasar al menos cinco minutos antes de probar las actualizaciones de sus políticas.
Si se produce un error en la comprobación de autorización, la solicitud devuelve un mensaje codificado con información de diagnóstico. Puede descodificar el mensaje usando la acción `DecodeAuthorizationMessage`. Para obtener más información, consulta [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)la *Referencia de la AWS Security Token Service API* y [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)la *Referencia de AWS CLI comandos*.
# Recurso: ejemplos de políticas para AWS Batch
Puede crear políticas de IAM específicas para restringir las llamadas y los recursos a los que tienen acceso los usuarios de su cuenta. A continuación, puede asignar esas políticas a los usuarios.
Cuando se adjunta una política a un usuario o grupo de usuarios, esta permite o deniega a los usuarios el permiso para tareas específicas en recursos específicos. Para obtener más información, consulte [Permisos y políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) en la *Guía del usuario de IAM*. Para obtener instrucciones sobre cómo gestionar y crear políticas de IAM personalizadas, consulte [Gestión de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
Los siguientes ejemplos muestran instrucciones de política que puede utilizar para controlar los permisos que los usuarios de tienen en AWS Batch.
**Topics**
+ [Acceso de solo lectura](iam-example-read-only.md)
+ [Recurso: restricción de usuario, imagen, privilegio y rol](iam-example-job-def.md)
+ [Restringir envío de trabajos](iam-example-restrict-job-submission.md)
+ [Restricción de una cola de trabajos](iam-example-restrict-job-queue.md)
+ [Denegación de la acción cuando todas las condiciones coincidan con las cadenas](iam-example-job-def-deny-all-image-logdriver.md)
+ [Recurso: denegación de la acción cuando alguna clave de condición coincida con una cadena](iam-example-job-def-deny-any-image-logdriver.md)
+ [Utilice la clave de condición `batch:ShareIdentifier`](iam-example-share-identifier.md)
+ [Gestione los recursos de SageMaker IA con AWS Batch](iam-example-full-access-service-environment.md)
+ [Restrinja el envío de trabajos por etiquetas de recursos](iam-example-restrict-job-submission-by-tags.md)
# Recurso: Acceso de solo lectura para AWS Batch
La siguiente política otorga a los usuarios permisos para usar todas las acciones de la AWS Batch API cuyo nombre comience por y. `Describe` `List`
A menos que otra instrucción les otorgue permiso para hacerlo, los usuarios no tienen permiso para llevar a cabo ninguna acción en los recursos. De forma predeterminada, se les niega el permiso para usar las acciones de la API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# Recurso: restricción del envío de un trabajo según el usuario de POSIX, la imagen de Docker el nivel de privilegios y el rol en el envío del trabajo
La siguiente política permite a un usuario POSIX administrar su propio conjunto de definiciones de trabajo restringidas.
Utilice la primera y la segunda sentencia para registrar y anular el registro de cualquier nombre de definición de trabajo cuyo nombre lleve el prefijo. *JobDefA\$1*
La primera instrucción también utiliza claves de contexto de condición para restringir los valores de usuario de POSIX, estado de privilegio e imagen de contenedor en las `containerProperties` de una definición de trabajo. Para obtener más información, consulta [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) en la *AWS Batch Referencia de la API de *. En este ejemplo, las definiciones de trabajo solo se pueden registrar cuando el usuario POSIX está configurado en `nobody`. El indicador privilegiado está establecido en `false`. Por ejemplo, el siguiente comando muestra las herramientas `myImage` de un repositorio de Amazon ECR.
**importante**
Docker resuelve el parámetro `user` de ese usuario `uid` desde la imagen del contenedor. En la mayoría de los casos, se encuentra en el archivo `/etc/passwd` de la imagen del contenedor. Esta resolución de nombres se puede evitar si usan valores de `uid` directos tanto en la definición de trabajo como en las políticas de IAM asociadas. Tanto las operaciones de API de AWS Batch como las claves condicionales de IAM `batch:User` admiten valores numéricos.
Uso de la tercera instrucción para restringir únicamente un rol específico a una definición de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# Recurso: restricción del envío de un trabajo según el prefijo de la definición de trabajo
Utilice la siguiente política para enviar trabajos a cualquier cola de trabajos con cualquier nombre de definición de trabajo que comience por. *JobDefA*
**importante**
Al determinar el ámbito del acceso en el nivel de recursos para el envío de trabajos, debe proporcionar los tipos de recursos de cola de trabajos y de definición de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# Recurso: restricción de una cola de trabajos
Uso de la siguiente política para enviar trabajos a una cola de trabajos denominada **queue1** con cualquier nombre de definición de trabajo.
**importante**
Al determinar el ámbito del acceso en el nivel de recursos para el envío de trabajos, debe proporcionar los tipos de recursos de cola de trabajos y de definición de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# Denegación de la acción cuando todas las condiciones coincidan con las cadenas
La siguiente política deniega el acceso a la operación de la [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API cuando la clave de condición `batch:Image` (ID de imagen del contenedor) es "*string1*" y la clave de condición `batch:LogDriver` (controlador del registro del contenedor) es "»*string2*. AWS Batch evalúa las claves de condición de cada contenedor. Cuando un trabajo abarca varios contenedores, como un trabajo paralelo de varios nodos, es posible que los contenedores tengan configuraciones diferentes. Si se evalúan varias claves de condición en una instrucción, se combinan mediante la lógica `AND`. Por lo tanto, si alguna de las múltiples claves de condición no coincide con un contenedor, el efecto `Deny` no se aplica a ese contenedor. Por el contrario, es posible que se deniegue un contenedor diferente en el mismo trabajo.
Para ver la lista de claves de condición AWS Batch, consulte las [claves de condición AWS Batch en la](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) *Referencia de autorización de servicio*. A excepción de `batch:ShareIdentifier`, todas las claves de condición `batch` se pueden usar de esta manera. La clave de condición `batch:ShareIdentifier` se define para un trabajo, no para una definición de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# Recurso: denegación de la acción cuando alguna clave de condición coincida con una cadena
La siguiente política deniega el acceso a la operación de la [https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API cuando la clave de condición `batch:Image` (ID de imagen del contenedor) es "*string1*" o la clave de condición `batch:LogDriver` (controlador del registro del contenedor) es "»*string2*. Cuando un trabajo abarca varios contenedores, como un trabajo paralelo de varios nodos, es posible que los contenedores tengan configuraciones diferentes. Si se evalúan varias claves de condición en una instrucción, se combinan mediante la lógica `AND`. Por lo tanto, si alguna de las múltiples claves de condición no coincide con un contenedor, el efecto `Deny` no se aplica a ese contenedor. Por el contrario, es posible que se deniegue un contenedor diferente en el mismo trabajo.
Para ver la lista de claves de condición AWS Batch, consulte [Claves de condición AWS Batch en la Referencia](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) de *autorización de servicios*. A excepción de `batch:ShareIdentifier`, todas las claves de condición `batch` se pueden usar de esta manera. (La clave de condición `batch:ShareIdentifier` se define para un trabajo, no para una definición de trabajo).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# Recurso: uso de la clave de condición `batch:ShareIdentifier`
Utilice la siguiente política para enviar los trabajos que utilizan la definición de trabajo `jobDefA` con la cola de trabajos `jobqueue1` con el identificador compartido `lowCpu`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# Gestione los recursos de SageMaker IA con AWS Batch
Esta política permite AWS Batch gestionar los recursos de SageMaker IA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# Recurso: restrinja el envío de trabajos mediante etiquetas de recursos en la definición del trabajo y en la cola de trabajos
Utilice la siguiente política para enviar trabajos solo cuando la cola de trabajos tenga la etiqueta `Environment=dev` y la definición de trabajos la tenga. `Project=calc` Esta política muestra cómo utilizar las etiquetas de recursos para controlar el acceso a AWS Batch los recursos durante el envío de los trabajos.
**importante**
Al enviar trabajos con políticas que evalúen las etiquetas de recursos de las definiciones de trabajos, debe enviar los trabajos utilizando el formato de revisión de la definición de trabajos (`job-definition:revision`). Si envía trabajos sin especificar una revisión, las etiquetas de definición de trabajos no se evaluarán, lo que podría eludir los controles de acceso previstos. El `*:*` patrón del ARN del recurso exige que las presentaciones incluyan una revisión, lo que garantiza que las políticas de etiquetas se apliquen siempre de manera efectiva.
Esta política usa dos declaraciones independientes porque aplica diferentes condiciones de etiqueta a diferentes tipos de recursos. Al determinar el ámbito del acceso en el nivel de recursos para el envío de trabajos, debe proporcionar los tipos de recursos de cola de trabajos y de definición de trabajo.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# Recurso: política AWS Batch gestionada
AWS Batch proporciona una política gestionada que puede adjuntar a los usuarios. Esta política otorga permiso para usar AWS Batch los recursos y las operaciones de la API. Puede aplicar esta política directamente o utilizarla como punto de partida para crear sus propias políticas. Para obtener más información sobre cada operación de la API mencionada en estas políticas, consulte [Acciones](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) en la *Referencia de la API AWS Batch *.
## AWSBatchFullAccess
Esta política permite el acceso total del administrador a AWS Batch.
Para ver el JSON de la política, consulte [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
# AWS Batch Función de ejecución de IAM
La función de ejecución otorga al contenedor y a los AWS Fargate agentes de Amazon ECS permiso para realizar llamadas a la AWS API en su nombre.
**nota**
El rol de ejecución de tareas es compatible con la versión 1.16.0 y posteriores del agente de contenedor de Amazon ECS.
El rol de ejecución de IAM es necesario en función de los requisitos de la tarea. Puede tener varios roles de ejecución de tareas asociados a su cuenta para distintos fines y servicios.
**nota**
Para obtener más información sobre el rol de instancia de Amazon ECS, consulte [Rol de instancia de Amazon ECS](instance_IAM_role.md). Para obtener más información acerca de los roles de servicio, consulte [¿Cómo AWS Batch funciona con IAM](security_iam_service-with-iam.md).
Amazon ECS proporciona la política administrada `AmazonECSTaskExecutionRolePolicy`. Esta política contiene los permisos necesarios para los casos de uso comunes descritos anteriormente. Puede ser necesario agregar políticas en línea al rol de ejecución de tareas para los casos de uso especiales que se describen a continuación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Se admiten permisos a nivel de recursos para AWS Batch las acciones de la API
El término *permisos a nivel de recursos* se refiere a la capacidad de especificar los recursos en los que los usuarios pueden realizar acciones. AWS Batch admite parcialmente los permisos a nivel de recursos. En el caso de algunas AWS Batch acciones, puede controlar cuándo se permite a los usuarios utilizarlas en función de las condiciones que deben cumplirse. También puede controlar en función de los recursos específicos que los usuarios pueden usar. Por ejemplo, puede conceder a los usuarios permisos para enviar trabajos, pero solo a una cola de trabajos específica y únicamente con una definición de trabajo determinada.
Para obtener más información sobre las acciones y los tipos de recursos definidos por AWS Batch, incluido el ARNs formato de cada uno de los tipos de recursos, consulte Acciones, recursos y claves de condición [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)en la *Referencia de autorización de servicio*.
# Tutorial: creación del rol de ejecución de IAM
Si su cuenta aún no tiene un rol de ejecución de IAM, siga estos pasos para crear el rol.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. Elija **Creación de rol**.
1. En **Tipo de entidad de confianza**, elija ** Servicio de AWS**.
1. En **Servicio o caso de uso**, elija **Elastic Container Service**. Luego elija nuevamente **Tarea de Elastic Container Service**.
1. Elija **Siguiente**.
1. Para **ver las políticas de permisos**, busca **Amazon ECSTask ExecutionRolePolicy**.
1. Selecciona la casilla de verificación situada a la izquierda de la ECSTask ExecutionRolePolicy política de **Amazon** y, a continuación, selecciona **Siguiente**.
1. En **Nombre de rol**, escriba `ecsTaskExecutionRole` y luego elija **Creación de rol**.
# Tutorial: comprobación del rol de ejecución de IAM
Utilice el procedimiento siguiente para comprobar si la cuenta ya dispone del rol de ejecución de IAM y para asociar la política de IAM gestionada en caso necesario.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En la lista de roles, busque `ecsTaskExecutionRole`. Si no puede encontrar el rol, consulte [Tutorial: creación del rol de ejecución de IAM](create-execution-role.md). Si el rol existe, selecciónelo para ver sus políticas asociadas.
1. En la pestaña **Permisos**, comprueba que la política ECSTask ExecutionRolePolicy gestionada por **Amazon** esté asociada al rol. Si la política se ha asociado, el rol de ejecución de la tarea está configurado correctamente. En caso contrario, siga los pasos derivados a continuación para asociar la política.
1. Elija **Agregar permisos** y luego **Adjuntar políticas**.
1. Busca **Amazon ECSTask ExecutionRolePolicy**.
1. Marca la casilla situada a la izquierda de la ECSTask ExecutionRolePolicy política de **Amazon** y selecciona **Adjuntar políticas**.
1. Seleccione **Trust Relationships**.
1. Verifique que la relación de confianza contiene la siguiente política. Si la relación de confianza coincide con la política siguiente, el rol está configurado correctamente. Si la relación de confianza no coincide, elija **Editar la política de confianza**, introduzca lo siguiente y después elija **Actualizar política**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Utilizar funciones vinculadas al servicio para AWS Batch
AWS Batch [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Batch Los roles vinculados al servicio están predefinidos AWS Batch e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
AWS Batch utiliza dos funciones diferentes vinculadas al servicio:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Para AWS Batch operaciones que incluyen entornos de cómputo.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Para la gestión de cargas de trabajo y la creación de colas mediante SageMaker IA.
**Topics**
+ [Uso de roles para AWS Batch](using-service-linked-roles-batch-general.md)
+ [Uso de roles para la IA AWS Batch SageMaker](using-service-linked-roles-batch-sagemaker.md)
# Uso de roles para AWS Batch
AWS Batch [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Batch Los roles vinculados al servicio están predefinidos AWS Batch e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Batch , ya que no es necesario añadir manualmente los permisos necesarios. AWS Batch define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Batch puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
**nota**
Realice una de las siguientes acciones para especificar una función de servicio para un entorno AWS Batch informático.
Utilice una cadena vacía para el rol de servicio. Esto permite AWS Batch crear el rol de servicio.
Especifique el rol de servicio en el siguiente formato: `arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Para obtener más información, consulte [Nombre de rol o ARN incorrectos](invalid_compute_environment.md#invalid_service_role_arn) la Guía AWS Batch del usuario.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Batch recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para AWS Batch
AWS Batch utiliza el rol vinculado al servicio denominado **AWSServiceRoleForBatch**: permite AWS Batch crear y administrar AWS recursos en su nombre.
El rol AWSService RoleForBatch vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `batch.amazonaws.com`
La política de permisos de roles denominada [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy)permite AWS Batch realizar las siguientes acciones en los recursos especificados:
+ `autoscaling`— Permite AWS Batch crear y gestionar los recursos de Amazon EC2 Auto Scaling. AWS Batch crea y administra grupos de Amazon EC2 Auto Scaling para la mayoría de los entornos informáticos.
+ `ec2`— Permite AWS Batch controlar el ciclo de vida de las instancias de Amazon EC2, así como crear y gestionar plantillas y etiquetas de lanzamiento. AWS Batch crea y gestiona las solicitudes de EC2 Spot Fleet para algunos entornos de computación puntual de EC2.
+ `ecs`- Permite AWS Batch crear y gestionar clústeres de Amazon ECS, definiciones de tareas y tareas para la ejecución de trabajos.
+ `eks`- Permite AWS Batch describir el recurso del clúster Amazon EKS para las validaciones.
+ `iam`- Permite AWS Batch validar y transferir las funciones proporcionadas por el propietario a Amazon EC2, Amazon EC2 Auto Scaling y Amazon ECS.
+ `logs`— Permite AWS Batch crear y gestionar grupos de registros y flujos de registros para AWS Batch trabajos.
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para AWS Batch
No necesita crear manualmente un rol vinculado a servicios. Al crear un entorno informático en la Consola de administración de AWS, la o la AWS API AWS CLI, se AWS Batch crea automáticamente el rol vinculado al servicio.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Si utilizabas el AWS Batch servicio antes del 10 de marzo de 2021, cuando comenzó a admitir funciones vinculadas al servicio, entonces AWS Batch creaste la AWSService RoleForBatch función en tu cuenta. Para obtener más información, consulte [Apareció un nuevo puesto en mi](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Cuenta de AWS
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un entorno informático, vuelve a AWS Batch crear el rol vinculado al servicio para usted.
## Edición de un rol vinculado a un servicio para AWS Batch
AWS Batch no permite editar el rol vinculado al AWSService RoleForBatch servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
**Para permitir que una entidad de IAM edite la descripción del rol vinculado al servicio AWSService RoleForBatch **
Añada la siguiente instrucción a la política de permisos. Esto permite a una entidad de IAM editar la descripción del rol vinculado a servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Eliminar un rol vinculado a un servicio para AWS Batch
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
**Para permitir que una entidad de IAM elimine el rol vinculado al servicio AWSService RoleForBatch **
Añada la siguiente instrucción a la política de permisos. Esto permite a una entidad de IAM eliminar un rol vinculado a un servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Saneamiento de un rol vinculado a servicios
Antes de poder usar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que el rol no tiene sesiones activas y eliminar todos los entornos de AWS Batch procesamiento que utilizan el rol en todas AWS las regiones en una sola partición.
**Para comprobar si el rol vinculado a servicio tiene una sesión activa**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Funciones** y, a continuación, el AWSService RoleForBatch nombre (no la casilla de verificación).
1. En la página **Summary**, elija **Access Advisor** y revise la actividad reciente del rol vinculado a servicio.
**nota**
Si no sabe si AWS Batch está utilizando el AWSService RoleForBatch rol, puede intentar eliminarlo. Si el servicio está utilizando el rol, este no podrá eliminarse. Puede ver las regiones en las que se está utilizando el rol. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a un servicio.
**Para eliminar AWS Batch los recursos utilizados por el rol AWSService RoleForBatch vinculado al servicio**
Debe eliminar todos los entornos AWS Batch informáticos que utilizan el AWSService RoleForBatch rol en todas AWS las regiones antes de poder eliminar el AWSService RoleForBatch rol.
1. Abra la AWS Batch consola en [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. En la barra de navegación, seleccione la región a utilizar.
1. En el panel de navegación, elija **Entornos de computación**.
1. Seleccione el entorno de computación.
1. Elija **Deshabilitar**. Espere a que **Estado** cambie a **DESHABILITADO**.
1. Seleccione el entorno de computación.
1. Elija **Eliminar**. Confirme que desea eliminar el entorno de computación mediante la elección de **Eliminar entorno de computación**.
1. Repita los pasos 1 a 7 para todos los entornos de computación que utilizan la función vinculada al servicio en todas las regiones.
### Eliminación de un rol vinculado a un servicio en IAM (Consola)
Puede utilizar la consola de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (consola)**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la consola de IAM, elija **Roles**. A continuación, active la casilla de verificación situada junto a ella AWSServiceRoleForBatch, no el nombre o la fila en sí.
1. Elija **Eliminar rol**.
1. En el cuadro de diálogo de confirmación, revise los datos del último acceso al servicio, que muestra cuándo cada uno de los roles seleccionados tuvo acceso a un Servicio de AWS por última vez. Esto lo ayuda a confirmar si el rol está actualmente activo. Si desea continuar, seleccione **Yes, Delete** para enviar la solicitud de eliminación del rol vinculado al servicio.
1. Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Como el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, dicha tarea puede realizarse correctamente o fallar después de que envía la solicitud de eliminación.
+ Si la tarea se realiza correctamente, el rol se elimina de la lista y aparece una notificación informando de ello en la parte superior de la página.
+ Si la tarea no se realiza correctamente, puede seleccionar **View details (Ver detalles)** o **View Resources (Ver recursos)** desde las notificaciones para obtener información sobre el motivo por el que no se pudo eliminar el rol. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría informar de todos los recursos, algunos o ninguno.
+ Si se produce un error en la tarea y la notificación no incluye una lista de los recursos, el servicio no podría no devolver dicha información. Para obtener información acerca de cómo limpiar los recursos de ese servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
### Eliminación de un rol vinculado a un servicio en IAM (AWS CLI)
Puede utilizar los comandos de IAM de AWS Command Line Interface para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (CLI)**
1. Como los roles vinculados a servicios no se pueden eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `deletion-task-id` de la respuesta para comprobar el estado de la tarea de eliminación. Ingrese el siguiente comando para enviar una solicitud de eliminación de un rol vinculado a un servicio:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Utilice el siguiente comando para comprobar el estado de la tarea de eliminación:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría devolver todos los recursos, algunos de ellos. O bien, podría no reportar ningún recurso. Para obtener información acerca de cómo limpiar los recursos de un servicio que no está informando de ningún recurso, consulte los [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
### Eliminación de un rol vinculado a servicio en IAM (API de AWS)
Puede utilizar la API de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (API)**
1. Para enviar una solicitud de eliminación de un rol vinculado a un servicio, llame a [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). En la solicitud, especifique el nombre del AWSService RoleForBatch rol.
Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `DeletionTaskId` de la respuesta para comprobar el estado de la tarea de eliminación.
1. Para comprobar el estado de la tarea de eliminación, realice una llamada a [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). En la solicitud, especifique el valor de `DeletionTaskId`.
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría informar de todos los recursos, algunos o ninguno. Para obtener información acerca de cómo limpiar los recursos de un servicio que no está informando de ningún recurso, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
## Regiones compatibles para los roles AWS Batch vinculados al servicio
AWS Batch admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de enlace de AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Uso de roles para la IA AWS Batch SageMaker
AWS Batch [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Batch Los roles vinculados al servicio están predefinidos AWS Batch e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Batch , ya que no es necesario añadir manualmente los permisos necesarios. AWS Batch define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Batch puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Batch recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados al servicio para AWS Batch
AWS Batch utiliza el rol vinculado al servicio denominado **AWSServiceRoleForAWSBatchWithSagemaker**: permite poner en cola y gestionar AWS Batch los trabajos de SageMaker formación en su nombre.
El rol AWSService RoleFor AWSBatch WithSagemaker vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `sagemaker-queuing.batch.amazonaws.com`
La política de permisos del rol permite AWS Batch realizar las siguientes acciones en los recursos especificados:
+ `sagemaker`— Permite AWS Batch gestionar los trabajos de SageMaker formación, transformar los puestos de trabajo y otros recursos de SageMaker IA.
+ `iam:PassRole`— Permite AWS Batch transferir las funciones de ejecución definidas por el cliente a la SageMaker IA para la ejecución de las tareas. La limitación de recursos permite transferir funciones a SageMaker los servicios de IA.
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para AWS Batch
No necesita crear manualmente un rol vinculado a servicios. Al crear un entorno de servicios mediante `CreateServiceEnvironment` la Consola de administración de AWS, la o la AWS API AWS CLI, se AWS Batch crea automáticamente el rol vinculado al servicio.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un entorno de servicios mediante`CreateServiceEnvironment`, AWS Batch vuelve a crear el rol vinculado al servicio para usted.
Para ver el JSON de la política, consulta la Guía [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)de [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Edición de un rol vinculado a un servicio para AWS Batch
AWS Batch no permite editar el rol vinculado al AWSService RoleFor AWSBatch WithSagemaker servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS Batch
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpiar un rol vinculado a servicios
Antes de poder usar IAM para eliminar un rol vinculado a un servicio, primero debe confirmar que el rol no tiene sesiones activas y eliminar todos los entornos de servicio que utilizan el rol en todas AWS las regiones en una sola partición.
**Para comprobar si el rol vinculado a servicio tiene una sesión activa**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Funciones** y, a continuación, el AWSService RoleFor AWSBatch WithSagemaker nombre (no la casilla de verificación).
1. En la página **Summary**, elija **Access Advisor** y revise la actividad reciente del rol vinculado a servicio.
**nota**
Si no sabe si AWS Batch está utilizando el AWSService RoleFor AWSBatch WithSagemaker rol, puede intentar eliminarlo. Si el servicio está utilizando el rol, este no podrá eliminarse. Puede ver las regiones en las que se está utilizando el rol. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a un servicio.
**Para eliminar AWS Batch los recursos utilizados por el rol AWSService RoleFor AWSBatch WithSagemaker vinculado al servicio**
Debe disociar todas las colas de trabajos de todos los entornos de servicio y, a continuación, eliminar todos los entornos de servicio que utilizan el AWSService RoleFor AWSBatch WithSagemaker rol en todas AWS las regiones antes de poder eliminar el rol. AWSService RoleFor AWSBatch WithSagemaker
1. Abra la consola en AWS Batch . [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/)
1. En la barra de navegación, seleccione la región a utilizar.
1. En el panel de navegación, elija **Entornos** y, a continuación, elija **Entornos de servicios**.
1. Seleccione todos los **Entornos de servicio**.
1. Elija **Deshabilitar**. Espere a que **Estado** cambie a **DESHABILITADO**.
1. Seleccione el entorno de servicio.
1. Elija **Eliminar**. Confirme que desea eliminar el entorno de servicio mediante la elección de **Eliminar entorno de servicio**.
1. Repita los pasos 1 a 7 para todos los entornos de servicio que utilizan el rol vinculado al servicio en todas las regiones.
### Eliminación de un rol vinculado a un servicio en IAM (Consola)
Puede utilizar la consola de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (consola)**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la consola de IAM, elija **Roles**. A continuación, active la casilla de verificación situada junto a ella AWSService RoleFor AWSBatchWithSagemaker, no el nombre o la fila en sí.
1. Elija **Eliminar rol**.
1. En el cuadro de diálogo de confirmación, revise los datos del último acceso al servicio, que muestra cuándo cada uno de los roles seleccionados tuvo acceso a un Servicio de AWS por última vez. Esto lo ayuda a confirmar si el rol está actualmente activo. Si desea continuar, seleccione **Yes, Delete** para enviar la solicitud de eliminación del rol vinculado al servicio.
1. Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Como el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, dicha tarea puede realizarse correctamente o fallar después de que envía la solicitud de eliminación.
+ Si la tarea se realiza correctamente, el rol se elimina de la lista y aparece una notificación informando de ello en la parte superior de la página.
+ Si la tarea no se realiza correctamente, puede seleccionar **View details (Ver detalles)** o **View Resources (Ver recursos)** desde las notificaciones para obtener información sobre el motivo por el que no se pudo eliminar el rol. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría informar de todos los recursos, algunos o ninguno.
+ Si se produce un error en la tarea y la notificación no incluye una lista de los recursos, el servicio no podría no devolver dicha información. Para obtener información acerca de cómo limpiar los recursos de ese servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
### Eliminación de un rol vinculado a un servicio en IAM (AWS CLI)
Puede utilizar los comandos de IAM de AWS Command Line Interface para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (CLI)**
1. Como los roles vinculados a servicios no se pueden eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `deletion-task-id` de la respuesta para comprobar el estado de la tarea de eliminación. Ingrese el siguiente comando para enviar una solicitud de eliminación de un rol vinculado a un servicio:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Utilice el siguiente comando para comprobar el estado de la tarea de eliminación:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría devolver todos los recursos, algunos de ellos. O bien, podría no reportar ningún recurso. Para obtener información acerca de cómo limpiar los recursos de un servicio que no está informando de ningún recurso, consulte los [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
### Eliminación de un rol vinculado a servicio en IAM (API de AWS)
Puede utilizar la API de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (API)**
1. Para enviar una solicitud de eliminación de un rol vinculado a un servicio, llame a [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). En la solicitud, especifique el nombre del AWSService RoleFor AWSBatch WithSagemaker rol.
Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `DeletionTaskId` de la respuesta para comprobar el estado de la tarea de eliminación.
1. Para comprobar el estado de la tarea de eliminación, realice una llamada a [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). En la solicitud, especifique el valor de `DeletionTaskId`.
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema. Si la eliminación no pudo producirse porque el rol está utilizando los recursos del servicio, la notificación incluye una lista de dichos recursos si el servicio proporciona dicha información. Tras conocer esa información, podrá [limpiar los recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) y volver a enviar la solicitud de eliminación.
**nota**
Es posible que tenga que repetir este proceso varias veces, en función de la información que devuelva el servicio. Por ejemplo, el rol vinculado al servicio podría estar utilizando seis recursos y el servicio podría estar devolviendo información solo acerca de cinco de ellos. Si limpia los cinco recursos y envía la solicitud de eliminación del rol de nuevo, se producirá un error y el servicio informará del recurso restante. Un servicio podría informar de todos los recursos, algunos o ninguno. Para obtener información acerca de cómo limpiar los recursos de un servicio que no está informando de ningún recurso, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifique su servicio en la tabla y haga clic en el enlace **Yes (Sí)** para consultar la documentación relacionada con los roles vinculados a dicho servicio.
## Regiones compatibles para los roles AWS Batch vinculados al servicio
AWS Batch admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de enlace de AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Rol de instancia de Amazon ECS
AWS Batch los entornos de cómputo se rellenan con instancias de contenedor de Amazon ECS. Ejecutan el agente de contenedor de Amazon ECS de forma local. El agente de contenedores de Amazon ECS realiza llamadas a varias operaciones de AWS API en su nombre. Por lo tanto, las instancias de contenedor que ejecutan el agente requieren una política de IAM y un rol para que estos servicios reconozcan que el agente le pertenece. Debe crear un rol de IAM y un perfil de instancia para que las instancias de contenedor los usen cuando se lancen. De lo contrario, no puede crear un entorno de computación y lanzar instancias de contenedor en él. Este requisito se aplica a las instancias de contenedor lanzadas con o sin la AMI optimizada de Amazon ECS proporcionada por Amazon. Para obtener más información, consulte [Rol de instancia de Amazon ECS](#instance_IAM_role) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
**Topics**
+ [Comprobación del rol de instancia de Amazon ECS en su cuenta](batch-check-ecsinstancerole.md)
# Comprobación del rol de instancia de Amazon ECS en su cuenta
El perfil de instancia y el rol de instancia de Amazon ECS se crean automáticamente en la experiencia de primer uso de la consola. Sin embargo, puede seguir estos pasos para verificar si la cuenta ya dispone del rol y el perfil de instancia de Amazon ECS. En los siguientes pasos también se explica cómo adjuntar la política de IAM administrada.
**Tutorial: comprobación del `ecsInstanceRole` en la consola de IAM**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Seleccione **Roles** en el panel de navegación.
1. En la lista de roles, busque `ecsInstanceRole`. Si el rol no existe, siga los siguientes pasos para crearlo.
1. Seleccione **Creación de rol**.
1. En **Tipo de entidad de confianza**, elija **Servicio de AWS**.
1. En **Casos de uso comunes**, elija **EC2**.
1. Elija **Siguiente**.
1. Para ver **las políticas de permisos**, busca **Amazon EC2 ContainerServicefor EC2 Role**.
1. Selecciona la casilla de verificación situada junto a **Amazon EC2 ContainerServicefor EC2 Role** y, a continuación, selecciona **Siguiente**.
1. En **Nombre de rol**, escriba `ecsInstanceRole` y elija **Crear rol**.
**nota**
Si utiliza el Consola de administración de AWS para crear un rol para Amazon EC2, la consola crea un perfil de instancia con el mismo nombre que el rol.
Como alternativa, puede usar el AWS CLI para crear el rol de `ecsInstanceRole` IAM. En el siguiente ejemplo, se crea un rol de IAM con una política de confianza y una política AWS gestionada.
**Tutorial: creación de un rol de IAM y un perfil de instancias (AWS CLI)**
1. Cree la siguiente política de confianza y guárdela en un archivo de texto que se denomina `ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Utilice el comando [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) para crear el rol de servicio `ecsInstanceRole`. Especifique la ubicación del archivo de política de confianza en el parámetro `assume-role-policy-document`.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Usa el [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)comando para crear un perfil de instancia con un nombre`ecsInstanceRole`.
**nota**
Debes crear roles y perfiles de instancia como acciones independientes en la AWS API AWS CLI y.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
A continuación, se muestra un ejemplo de respuesta.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Usa el comando [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) para agregar el `ecsInstanceRole` rol al perfil de la `ecsInstanceRole` instancia.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Usa el [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)comando para adjuntar la política `AmazonEC2ContainerServiceforEC2Role` AWS administrada al `ecsInstanceRole` rol.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Rol de flota de spot de Amazon EC2
Si crea un entorno de computación administrado que utiliza las instancias de flota de spot Amazon EC2, debe crear la política `AmazonEC2SpotFleetTaggingRole`. Esta política concede a la flota de spot permiso para lanzar, etiquetar y finalizar instancias en su nombre. Especifique el rol en la solicitud de flota de spot. También debe tener las funciones **AWSServiceRoleForEC2Spot** y **AWSServiceRoleForEC2SpotFleet**vinculadas a servicios para Amazon EC2 Spot y Spot Fleet. Utilice la siguiente instrucción para crear todos estos roles. *Para obtener más información, consulte [Uso de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) y [Creación de un rol para delegar permisos a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la Guía del usuario de IAM.*
**Topics**
+ [Cree funciones de flota puntual de Amazon EC2 en el Consola de administración de AWS](spot-fleet-roles-console.md)
+ [Cree funciones de flota puntual en Amazon EC2 con AWS CLI](spot-fleet-roles-cli.md)
# Cree funciones de flota puntual de Amazon EC2 en el Consola de administración de AWS
**Para crear el rol vinculado a servicio de IAM denominado `AmazonEC2SpotFleetTaggingRole` para la flota de spot de Amazon EC2**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En **Gestión de acceso**, seleccione **Roles**,
1. En **Roles**, seleccione **Creación de rol**.
1. En **Seleccione una entidad de confianza** para **Tipo de entidad de confianza**, elija **Servicio de AWS**.
1. **Para otros casos de uso Servicios de AWS**, elija **EC2 y, a continuación, EC2** **- Spot** Fleet Tagging.
1. Elija **Siguiente**.
1. En **Políticas de permisos** para el **Nombre de la política**, compruebe `AmazonEC2SpotFleetTaggingRole`.
1. Elija **Siguiente**.
1. Para **Nombrar, revisar y crear**:
1. En **Nombre de rol**, escriba un nombre para identificar el rol.
1. En **Descripción**, introduzca una breve explicación de la política.
1. (Opcional) En **Paso 1: seleccione entidades de confianza**, elija **Editar** para modificar el código.
1. (Opcional) En el **Paso 2: agregar permisos**, seleccione **Editar** para modificar el código.
1. (Opcional) En **Agregar etiquetas**, elija **Agregar etiqueta** para agregar etiquetas al recurso.
1. Elija **Creación de rol**.
**nota**
En el pasado, había dos políticas administradas para el rol de la flota de spot de Amazon EC2.
**Amazon EC2 SpotFleetRole**: Esta es la política gestionada original para el rol de Spot Fleet. Sin embargo, ya no recomendamos que lo utilice con AWS Batch. Esta política no admite el etiquetado de instancias de spot en entornos de computación, que es obligatorio para utilizar la función vinculada al servicio `AWSServiceRoleForBatch`. Si ya había creado un rol de flota de spot con esta política, aplique la nueva política recomendada a ese rol. Para obtener más información, consulte [Instancias de spot no etiquetadas en el momento de su creación](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: Esta función proporciona todos los permisos necesarios para etiquetar las instancias puntuales de Amazon EC2. Utilice esta función para permitir el etiquetado de instancias puntuales en sus entornos AWS Batch informáticos.
# Cree funciones de flota puntual en Amazon EC2 con AWS CLI
**Para crear el rol de **Amazon EC2 SpotFleetTaggingRole** IAM para sus entornos de cómputo de Spot Fleet**
1. Ejecute el siguiente comando con la AWS CLI.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. **Para adjuntar la política de IAM EC2 SpotFleetTaggingRole gestionada por **Amazon** a tu EC2 SpotFleetTaggingRole rol de Amazon, ejecuta el siguiente comando con.** AWS CLI
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Para crear el rol vinculado a servicio de IAM denominado `AWSServiceRoleForEC2Spot` para el spot de Amazon EC2**
**nota**
Si el rol vinculado al servicio de IAM denominado `AWSServiceRoleForEC2Spot` ya existe, aparecerá un mensaje de error similar al siguiente.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Ejecute el siguiente comando con la AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Para crear el rol vinculado a servicio de IAM denominado `AWSServiceRoleForEC2SpotFleet` para la flota de spot de Amazon EC2**
**nota**
Si el rol vinculado al servicio de IAM denominado `AWSServiceRoleForEC2SpotFleet` ya existe, aparecerá un mensaje de error similar al siguiente.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Ejecute el siguiente comando con la AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge Rol de IAM
Amazon EventBridge ofrece un flujo casi en tiempo real de los eventos del sistema que describen los cambios en los AWS recursos. AWS Batch los trabajos están disponibles como EventBridge objetivos. Mediante reglas sencillas que puede configurar rápidamente, puede asignar eventos y enviar trabajos de AWS Batch como respuesta a ellos. Antes de poder enviar AWS Batch trabajos con EventBridge reglas y objetivos, EventBridge debe tener permisos para ejecutar los AWS Batch trabajos en su nombre.
**nota**
Si crea una regla en la EventBridge consola que especifica una AWS Batch cola como destino, puede crear este rol. Para ver un tutorial de ejemplo, consulte [Trabajos de AWS Batch como destinos de EventBridge](batch-cwe-target.md). Puede crear el EventBridge rol manualmente mediante la consola de IAM. Para obtener instrucciones, consulte [Creación de un rol mediante políticas de confianza personalizadas (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) en la Guía del usuario de IAM.
La relación de confianza para su función de EventBridge IAM debe proporcionar al director del `events.amazonaws.com` servicio la capacidad de asumir la función.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Asegúrese de que la política asociada a su función de EventBridge IAM permita `batch:SubmitJob` conceder permisos a sus recursos. En el siguiente ejemplo, AWS Batch proporciona la política administrada de `AWSBatchServiceEventTargetRole` para conceder estos permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------
# Creación de una nube virtual privada
Los recursos de computación de sus entornos de computación necesitan acceso de red externo para comunicarse con AWS Batch y el punto de conexión del servicio de Amazon ECS. Sin embargo, es posible que tenga trabajos que desee ejecutar en subredes privadas. La creación de una VPC con subredes públicas y privadas le proporciona la flexibilidad necesaria para ejecutar trabajos en una subred pública o privada.
Puede usar Amazon Virtual Private Cloud (Amazon VPC) para lanzar AWS recursos en una red virtual que usted defina. En este tema se proporciona un enlace al asistente de Amazon VPC y una lista de las opciones que se pueden seleccionar.
## Creación de una VPC
Para obtener información sobre cómo crear una VPC, consulte [Creación de una VPC únicamente](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-vpc-only) en la *Guía del usuario de Amazon VPC* y utilice la siguiente tabla para determinar qué opciones seleccionar.
| Opción | Valor |
| --- | --- |
| Recursos para crear | VPC solo |
| Name | De manera opcional, indique un nombre para su VPC. |
| IPv4 Bloque CIDR | IPv4 Entrada manual de CIDR El bloque de CIDR debe ser de un tamaño de entre /16 y /28. |
| IPv6 Bloque CIDR | Sin bloqueo IPv6 CIDR |
| Propiedad | Predeterminado |
Para obtener más información acerca de Amazon VPC, consulte [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/) en la *Guía del usuario de Amazon VPC*.
## Siguientes pasos
Después de crear la VPC, se recomiendan los siguientes pasos:
+ Cree grupos de seguridad para los recursos públicos y privados si necesitan acceso de red de entrada. Para obtener más información, consulte [Uso de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups) en la *Guía del usuario de Amazon VPC*.
+ Cree un entorno informático AWS Batch gestionado que lance recursos informáticos a su nueva VPC. Para obtener más información, consulte [Creación de un entorno de computación](create-compute-environment.md). Si utilizas el asistente de creación de entornos de cómputo de la AWS Batch consola, puedes especificar la VPC que acabas de crear y las subredes públicas o privadas en las que quieres lanzar tus instancias.
+ Crea una cola de AWS Batch trabajos que se asigne a tu nuevo entorno de cómputo. Para obtener más información, consulte [Creación de una cola de trabajos](create-job-queue.md).
+ Cree una definición de trabajo para ejecutar sus trabajos. Para obtener más información, consulte [Creación de una definición de trabajo de un solo nodo](create-job-definition.md).
+ Envíe un trabajo con su definición de trabajo a la nueva cola de trabajos. Este trabajo llegará al entorno de computación que creó con su nueva VPC y sus subredes. Para obtener más información, consulte [Tutorial: envío de un trabajo](submit_job.md).
# Utilice un punto final de interfaz para acceder AWS Batch
Puede usarlo AWS PrivateLink para crear una conexión privada entre su VPC y. AWS Batch Puede acceder a AWS Batch como si estuviera en su VPC, sin el uso de una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión Direct Connect . Las instancias de la VPC no necesitan direcciones IP públicas para acceder a AWS Batch.
Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a AWS Batch.
Para obtener más información, consulte [Puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) en la *AWS PrivateLink guía*.
# Consideraciones para AWS Batch
Antes de configurar un punto final de la interfaz AWS Batch, consulte las [propiedades y limitaciones del punto final de la interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) en la *AWS PrivateLink Guía*.
AWS Batch permite realizar llamadas a todas sus acciones de API a través del punto final de la interfaz.
Antes de configurar los puntos finales de la VPC de la interfaz AWS Batch, tenga en cuenta las siguientes consideraciones:
+ Los trabajos que utilizan el tipo de lanzamiento de recursos de Fargate no requieren los puntos de enlace de la VPC de la interfaz para Amazon ECS, pero es posible que necesite los puntos de enlace de la VPC de la interfaz para Amazon AWS Batch ECR, Secrets Manager o Amazon Logs, que se describen en los puntos siguientes. CloudWatch
+ Para ejecutar trabajos, debe crear los puntos de conexión de VPC de interfaz para Amazon ECS. Para obtener más información, consulte [Puntos de conexión de VPC de tipo interfaz (AWS PrivateLink PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ Para permitir que sus tareas extraigan imágenes privadas de Amazon ECR, debe crear los puntos de conexión de VPC de interfaz de Amazon ECR. Para obtener más información, consulte [Puntos de enlace de la VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) en la *Guía del usuario de Amazon Elastic Container Registry*.
+ Para permitir que sus tareas extraigan información confidencial de Secrets Manager, debe crear los puntos de conexión de VPC de interfaz de Secrets Manager. Para obtener más información, consulte [Utilización de Secrets Manager con puntos de enlace de la VPC](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) en la *Guía del usuario de AWS Secrets Manager *.
+ Si su VPC no tiene una puerta de enlace a Internet y sus trabajos utilizan el controlador de `awslogs` registro para enviar la información de registro a CloudWatch Logs, debe crear un punto de enlace de VPC de interfaz para Logs. CloudWatch Para obtener más información, consulte [Uso de CloudWatch registros con puntos de enlace de VPC de interfaz](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) en la Guía del usuario de *Amazon CloudWatch Logs*.
+ Las tareas que utilizan el tipo de lanzamiento de EC2 requieren que las instancias de contenedor en las que se lanzan ejecuten la versión `1.25.1` o posterior del agente de contenedor de Amazon ECS. Para obtener más información, consulte [Versiones del agente de contenedores de Linux en Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-agent-versions.html) en la *Guía para desarrolladores de Amazon Elastic Container Service*.
+ Los puntos de enlace de la VPC no admiten las solicitudes entre regiones. Asegúrese de crear su punto de conexión en la misma región en la que tiene previsto enviar llamadas a la API de AWS Batch.
+ Los puntos de conexión de VPC solo admiten DNS proporcionadas por Amazon a través de Amazon Route 53. Si desea utilizar su propio DNS, puede utilizar el enrutamiento de DNS condicional. Para obtener más información, consulte [Conjuntos de opciones de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) en la *Guía del usuario de Amazon VPC*.
+ El grupo de seguridad asociado al punto de conexión de la VPC debe permitir las conexiones entrantes en el puerto 443 desde la subred privada de la VPC.
+ AWS Batch no admite los puntos finales de la interfaz de VPC en los siguientes casos: Regiones de AWS
+ Asia-Pacífico (Osaka) (`ap-northeast-3`)
+ Asia-Pacífico (Yakarta) (`ap-southeast-3`)
# Cree un punto final de interfaz para AWS Batch
Puede crear un punto final de interfaz para AWS Batch usar la consola de Amazon VPC o AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) en la *Guía de AWS PrivateLink *.
Cree un punto final de interfaz para AWS Batch utilizar los siguientes nombres de servicio:
+ **com.amazonaws.** *region***.batch**
+ **com.amazonaws.** *region***.batch-fips (para ver puntos de enlace compatibles con FIPS***, consulte puntos de enlace y cuotas*[)AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html)
Por ejemplo:
```
com.amazonaws.us-east-2.batch
```
```
com.amazonaws.us-east-2.batch-fips
```
En la partición `aws-cn`, el formato es diferente:
```
cn.com.amazonaws.region.batch
```
Por ejemplo:
```
cn.com.amazonaws.cn-northwest-1.batch
```
## Nombres de DNS privados para los AWS Batch puntos finales de la interfaz
Si habilita el DNS privado para el punto final de la interfaz, puede usar nombres de DNS específicos para AWS Batch conectarse. Ofrecemos estas opciones:
+ **lote.** *region***.amazonaws.com**
+ **lote.** *region***.api.aws**
Para puntos finales compatibles con FIPS:
+ **embarque por lotes.** *region***.api.aws**
+ **fips.batch.** *region***.amazonaws.com** *no es compatible*
Para obtener más información, consulte [Acceso a un servicio a través de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) en la *Guía AWS PrivateLink *.
# Creación de una política de punto de conexión para el punto de conexión de interfaz
Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos finales predeterminada permite el acceso total a AWS Batch través del punto final de la interfaz. Para controlar el acceso permitido a AWS Batch desde la VPC, adjunte una política de puntos de conexión personalizada al punto de conexión de interfaz.
Una política de punto de conexión especifica la siguiente información:
+ Las entidades principales (Cuentas de AWS, usuarios y roles de IAM) que puede realizar acciones
+ Las acciones que se pueden realizar.
+ El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte [Control del acceso a los servicios con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de AWS PrivateLink *.
**Ejemplo: política de puntos finales de VPC para acciones AWS Batch**
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Al adjuntar esta política al punto final de la interfaz, se concede acceso a las AWS Batch acciones enumeradas a todos los principales de todos los recursos.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"batch:SubmitJob",
"batch:ListJobs",
"batch:DescribeJobs"
],
"Resource":"*"
}
]
}
```
# Validación de conformidad para AWS Batch
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Seguridad de la infraestructura en AWS Batch
Como servicio gestionado, AWS Batch está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a AWS Batch través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Puede llamar a estas operaciones de API desde cualquier ubicación de la red, pero AWS Batch admite políticas de acceso basadas en los recursos, que pueden incluir restricciones basadas en la dirección IP de origen. También puede utilizar AWS Batch políticas para controlar el acceso desde puntos de enlace específicos o específicos de Amazon Virtual Private Cloud (Amazon VPC). VPCs En efecto, esto aísla el acceso a la red a un AWS Batch recurso determinado únicamente de la VPC específica de la red. AWS
# Prevención de la sustitución confusa entre servicios
El problema del suplente confuso es una cuestión de seguridad en la que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.
Se recomienda utilizar las claves de contexto de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)y las claves de contexto en las políticas de recursos para limitar los permisos que se AWS Batch otorgan a otro servicio al recurso. Si el valor de `aws:SourceArn` no contiene el ID de cuenta, como un ARN de bucket de Amazon S3, debe utilizar ambas claves de contexto de condición global para limitar los permisos. Si utiliza claves de contexto de condición global y el valor de `aws:SourceArn` contiene el ID de cuenta, el valor de `aws:SourceAccount` y la cuenta en el valor de `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utiliza en la misma instrucción de política. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios. Utiliza `aws:SourceAccount` si quiere permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios.
El valor de `aws:SourceArn` debe ser el recurso que se AWS Batch almacena.
La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si está especificando varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con caracteres comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:servicename:*:123456789012:*`.
En los siguientes ejemplos se muestra cómo utilizar las claves de contexto de condición `aws:SourceAccount` global `aws:SourceArn` y las claves contextuales AWS Batch para evitar el confuso problema de los diputados.
## Ejemplo: rol para acceder a un solo entorno de computación
El siguiente rol solo se puede usar para acceder a un entorno de computación. El nombre del trabajo debe especificarse como `*` porque la cola de trabajos se puede asociar a varios entornos de computación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/testCE",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
## Ejemplo: rol para acceder a varios entornos de computación
El siguiente rol se puede utilizar para tener acceso a varios entornos de computación. El nombre del trabajo debe especificarse como `*` porque la cola de trabajos se puede asociar a varios entornos de computación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/*",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
# Registrar las llamadas a la AWS Batch API con AWS CloudTrail
AWS Batch está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en AWS Batch. CloudTrail captura todas las llamadas a la API AWS Batch como eventos. Las llamadas capturadas incluyen llamadas desde la AWS Batch consola y llamadas en código a las operaciones de la AWS Batch API. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos para AWS Batch. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial de eventos**. Con la información recopilada por usted CloudTrail, puede determinar el destinatario de la solicitud AWS Batch, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, consulte la [Guía AWS CloudTrail del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Batch información en CloudTrail](service-name-info-in-cloudtrail.md)
+ [Referencia: Descripción de las entradas de los archivos de AWS Batch registro](understanding-service-name-entries.md)
# AWS Batch información en CloudTrail
CloudTrail está habilitada en su AWS cuenta al crear la cuenta. Cuando se produce una actividad en AWS Batch, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el **historial de eventos**. Puedes ver, buscar y descargar los eventos recientes en tu AWS cuenta. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para tener un registro continuo de los eventos de tu AWS cuenta, incluidos los eventos de tu cuenta AWS Batch, crea una ruta. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando crea una ruta en la consola, la ruta se aplica a todas AWS las regiones. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Integraciones y servicios compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas AWS Batch las acciones se registran CloudTrail y se documentan en la https://docs.aws.amazon.com/batch/ última versión APIReference //. Por ejemplo, las llamadas a las secciones `[SubmitJob](https://docs.aws.amazon.com/batch/latest/APIReference/API_SubmitJob.html)`, `[ListJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_ListJobs.html)` y `[DescribeJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_DescribeJobs.html)` generan entradas en los archivos de registro de CloudTrail .
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro servicio. AWS
Para obtener más información, consulte el [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
# Referencia: Descripción de las entradas de los archivos de AWS Batch registro
Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una única solicitud de cualquier origen e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etcétera. Los archivos de registro de CloudTrail no son un rastro de la pila ordenada de las llamadas a la API públicas, por lo que no aparecen en ningún orden específico.
El siguiente ejemplo muestra una entrada de CloudTrail registro que demuestra la `[CreateComputeEnvironment](https://docs.aws.amazon.com/batch/latest/APIReference/API_CreateComputeEnvironment.html)` acción.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2017-12-20T00:48:46Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
}
}
},
"eventTime": "2017-12-20T00:48:46Z",
"eventSource": "batch.amazonaws.com",
"eventName": "CreateComputeEnvironment",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"computeResources": {
"subnets": [
"subnet-5eda8e04"
],
"tags": {
"testBatchTags": "CLI testing CE"
},
"desiredvCpus": 0,
"minvCpus": 0,
"instanceTypes": [
"optimal"
],
"securityGroupIds": [
"sg-aba9e8db"
],
"instanceRole": "ecsInstanceRole",
"maxvCpus": 128,
"type": "EC2"
},
"state": "ENABLED",
"type": "MANAGED",
"computeEnvironmentName": "Test"
},
"responseElements": {
"computeEnvironmentName": "Test",
"computeEnvironmentArn": "arn:aws:batch:us-east-1:012345678910:compute-environment/Test"
},
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```
# Solucionar problemas de IAM AWS Batch
Utilice la siguiente información como ayuda para diagnosticar y solucionar problemas comunes que pueden surgir al trabajar con AWS Batch un IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS Batch](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis AWS Batch recursos](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en AWS Batch
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le facilitó el nombre de usuario y la contraseña.
En el siguiente ejemplo, el error se produce cuando el usuario `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `batch:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: batch:GetWidget on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `batch:GetWidget`. Para obtener más información sobre la concesión de permisos para transferir un rol, consulte [Conceder permisos a un usuario para transferir un rol a un AWS servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
## No estoy autorizado a realizar iam: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS Batch.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AWS Batch. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis AWS Batch recursos
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si AWS Batch es compatible con estas funciones, consulte. [¿Cómo AWS Batch funciona con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.