Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity and Access Management para AWS Clean Rooms
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AWS Clean Rooms La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security-iam-audience)
+ [Autenticación con identidades](#security-iam-auth-with-identities)
+ [Administración del acceso con políticas](#security-iam-managing-access)
+ [¿Cómo AWS Clean Rooms funciona con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para AWS Clean Rooms](security-iam-awsmanpol.md)
+ [Solución de problemas AWS Clean Rooms de identidad y acceso](security_iam_troubleshoot.md)
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md)
+ [Comportamientos de IAM para AWS Clean Rooms ML](ml-behaviors.md)
+ [Comportamientos de IAM para los modelos personalizados de Clean Rooms ML](ml-behaviors-byom.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS Clean Rooms de identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [¿Cómo AWS Clean Rooms funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe estar *autenticado (con* quien haya iniciado sesión AWS) como usuario de IAM o asumiendo una función de IAM. Usuario raíz de la cuenta de AWS
Puede iniciar sesión AWS como una identidad federada mediante las credenciales proporcionadas a través de una fuente de identidad. AWS IAM Identity Center Los usuarios (Centro de identidades de IAM) o la autenticación de inicio de sesión único de su empresa son ejemplos de identidades federadas. Al iniciar sesión como una identidad federada, su administrador habrá configurado previamente la federación de identidades mediante roles de IAM. Cuando accede AWS mediante la federación, asume indirectamente un rol.
Según el tipo de usuario que sea, puede iniciar sesión en el portal Consola de administración de AWS o en el de AWS acceso. Para obtener más información sobre cómo iniciar sesión AWS, consulte [Cómo iniciar sesión Cuenta de AWS en su](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guía del AWS Sign-In usuario*.
Si accede AWS mediante programación, AWS proporciona un kit de desarrollo de software (SDK) y una interfaz de línea de comandos (CLI) para firmar criptográficamente sus solicitudes con sus credenciales. Si no utilizas AWS herramientas, debes firmar las solicitudes tú mismo. Para obtener más información sobre el uso del método recomendado para firmar las solicitudes usted mismo, consulte [Proceso de firma de Signature Version 4](https://docs.aws.amazon.com//general/latest/gr/signature-version-4.html) en la *Referencia general de AWS*.
Independientemente del método de autenticación que use, es posible que deba proporcionar información de seguridad adicional. Por ejemplo, le AWS recomienda que utilice la autenticación multifactor (MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte [Autenticación multifactor](https://docs.aws.amazon.com//singlesignon/latest/userguide/enable-mfa.html) en la *Guía del usuario de AWS IAM Identity Center * y [Uso de la autenticación multifactor (MFA) en AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_mfa.html)en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear una Cuenta de AWS, comienza con una identidad de inicio de sesión que tiene acceso completo a todos Servicios de AWS los recursos de la cuenta. Esta identidad recibe el nombre de *usuario raíz* de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos que no utilice el usuario raíz para las tareas cotidianas. Proteja las credenciales del usuario raíz y utilícelas sólo para las tareas que el usuario raíz pueda realizar. Para obtener la lista completa de tareas que requieren que inicie sesión como usuario raíz, consulte [Credenciales de Usuario raíz de la cuenta de AWS e identidades de IAM](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root) en la *Referencia general de AWS*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política es un objeto AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando un director (usuario, usuario raíz o sesión de rol) realiza una solicitud. Los permisos de las políticas determinan si la solicitud está permitida o denegada. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre la estructura y el contenido de los documentos de política JSON, consulte [Información general de políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y bajo qué **condiciones**.
Cada entidad de IAM (usuario o rol) comienza sin permisos. De forma predeterminada, los usuarios no pueden hacer nada, ni siquiera cambiar sus propias contraseñas. Para conceder permiso a un usuario para hacer algo, el administrador debe asociar una política de permisos a un usuario. O bien el administrador puede agregar al usuario a un grupo que tenga los permisos necesarios. Cuando el administrador concede permisos a un grupo, todos los usuarios de ese grupo obtienen los permisos.
Las políticas de IAM definen permisos para una acción independientemente del método que se utilice para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción `iam:GetRole`. Un usuario con esa política puede obtener información sobre el rol de la API Consola de administración de AWS AWS CLI, la o la AWS API.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidades pueden clasificarse además como *políticas insertadas* o *políticas administradas*. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Las políticas administradas son políticas independientes que puedes adjuntar a varios usuarios, grupos y roles de su Cuenta de AWS. Las políticas administradas incluyen políticas AWS administradas y políticas administradas por el cliente. Para más información sobre cómo elegir una política administrada o una política insertada, consulte [Elegir entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales y menos comunes. Estos tipos de políticas pueden establecer el máximo de permisos que los tipos de políticas más frecuentes le conceden.
+ **Límites de permisos**: un límite de permisos es una característica avanzada que le permite establecer los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuario o rol de IAM). Puede establecer un límite de permisos para una identidad. Los permisos resultantes son la intersección de las políticas basadas en identidad de la entidad y los límites de sus permisos. Las políticas basadas en recursos que especifiquen el usuario o rol en el campo `Principal` no estarán restringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información sobre los límites de los permisos, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: SCPs son políticas de JSON que especifican los permisos máximos para una organización o unidad organizativa (OU). AWS Organizations AWS Organizations es un servicio para agrupar y administrar de forma centralizada varios de los Cuentas de AWS que son propiedad de su empresa. Si habilitas todas las funciones de una organización, puedes aplicar políticas de control de servicios (SCPs) a una o a todas tus cuentas. El SCP limita los permisos de las entidades en las cuentas de los miembros, incluidas las de cada una Usuario raíz de la cuenta de AWS. Para obtener más información sobre Organizations SCPs, consulte [Cómo SCPs trabajar](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión**: las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y las políticas de la sesión. Los permisos también pueden proceder de una política en función de recursos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# ¿Cómo AWS Clean Rooms funciona con IAM
Antes de utilizar IAM para gestionar el acceso AWS Clean Rooms, infórmese sobre las funciones de IAM disponibles para su uso. AWS Clean Rooms
**Funciones de IAM que puede utilizar con AWS Clean Rooms**
| Característica de IAM | AWS Clean Rooms soporte |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | Parcial |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Parcial |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | Sí |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | No |
Para obtener una visión general de cómo AWS Clean Rooms y otras funciones Servicios de AWS funcionan con la mayoría de las funciones de IAM, consulte Servicios de AWS la Guía del usuario de [IAM sobre cómo funcionan con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *IAM*.
## Políticas basadas en la identidad para AWS Clean Rooms
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para AWS Clean Rooms
Para ver ejemplos de políticas AWS Clean Rooms basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Políticas basadas en recursos incluidas AWS Clean Rooms
**Compatibilidad con las políticas basadas en recursos:** parcial
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
El AWS Clean Rooms servicio solo admite un tipo de política basada en recursos denominada política de *recursos administrados de modelo similar configurada*, que se adjunta a un modelo similar configurado. Esta política define qué entidades principales pueden realizar acciones en el modelo similar configurado.
Para obtener información sobre cómo asociar una política basada en recursos a un modelo similar configurado, consulte **[Comportamientos de IAM para AWS Clean Rooms ML](ml-behaviors.md)**.
## Acciones políticas para AWS Clean Rooms
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de AWS Clean Rooms acciones, consulte [las acciones definidas AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awscleanrooms.html) en la *Referencia de autorización del servicio*.
Las acciones políticas AWS Clean Rooms utilizan el siguiente prefijo antes de la acción.
```
cleanrooms
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"cleanrooms:action1",
"cleanrooms:action2"
]
```
Para ver ejemplos de políticas AWS Clean Rooms basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Recursos de políticas para AWS Clean Rooms
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de AWS Clean Rooms recursos y sus tipos ARNs, consulte [los recursos definidos AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) en la *Referencia de autorización de servicios*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Para ver ejemplos de políticas AWS Clean Rooms basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS Clean Rooms](security_iam_id-based-policy-examples.md)
## Claves de condición de la política para AWS Clean Rooms
**Compatibilidad con claves de condición de políticas específicas del servicio:** parcial
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para obtener información sobre cómo AWS Clean Rooms ML utiliza las claves de condición de las políticas, consulte **[Comportamientos de IAM para AWS Clean Rooms ML](ml-behaviors.md)**.
## ACLs in AWS Clean Rooms
**Soportes ACLs:** No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con AWS Clean Rooms
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Utilizar credenciales temporales con AWS Clean Rooms
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Sesiones de acceso directo para AWS Clean Rooms
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama Servicio de AWS, junto con la solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para AWS Clean Rooms
**Compatible con roles de servicio:** sí
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir AWS Clean Rooms la funcionalidad. Edite las funciones de servicio solo cuando se AWS Clean Rooms proporcionen instrucciones para hacerlo.
## Funciones vinculadas al servicio para AWS Clean Rooms
**Compatibilidad con roles vinculados al servicio:** no
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Ejemplos de políticas basadas en la identidad para AWS Clean Rooms
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS Clean Rooms . Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos AWS Clean Rooms, incluido el formato de cada uno de los tipos de recursos, consulte [las claves de condición, recursos y acciones de la Referencia AWS Clean Rooms](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) de *autorización de servicios*. ARNs
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola AWS Clean Rooms](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Clean Rooms recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola AWS Clean Rooms
Para acceder a la AWS Clean Rooms consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Clean Rooms recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la AWS Clean Rooms consola, adjunte también la política `ReadOnly` AWS gestionada AWS Clean Rooms `FullAccess` o la política gestionada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gestionadas para AWS Clean Rooms
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS política gestionada: `AWSCleanRoomsReadOnlyAccess`
Puede adjuntar `AWSCleanRoomsReadOnlyAccess` a sus entidades principales de IAM.
Esta política otorga permisos de solo lectura a recursos y metadatos de una colaboración de `AWSCleanRoomsReadOnlyAccess`.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `CleanRoomsRead`: concede a las entidades principales acceso de solo lectura al servicio.
+ `ConsoleDisplayTables`— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes en la consola.
+ `ConsoleLogSummaryQueryLogs`: concede a las entidades principales permiso para ver los registros de consultas.
+ `ConsoleLogSummaryObtainLogs`: concede a las entidades principales permiso para recuperar los resultados de registro.
Para obtener una lista en JSON de los detalles de la política, consulte la Guía [AWSCleanRoomsReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsReadOnlyAccess.html)de referencia de *políticas AWS administradas*.
## AWS política gestionada: `AWSCleanRoomsFullAccess`
Puede adjuntar `AWSCleanRoomsFullAccess` a sus entidades principales de IAM.
Esta política otorga permisos administrativos que permiten el acceso total (lectura, escritura y actualización) a los recursos y metadatos de una AWS Clean Rooms colaboración. Esta política incluye el acceso para realizar consultas.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `CleanRoomsAccess`— Otorga acceso total a todas las acciones de todos los recursos para AWS Clean Rooms.
+ `PassServiceRole`: concede acceso para transferir un rol de servicio únicamente al servicio (condición `PassedToService`) cuyo nombre contenga "cleanrooms".
+ `ListRolesToPickServiceRole`— Permite a los directores enumerar todas sus funciones para poder elegir una función de servicio cuando la utilicen AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ListPoliciesToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `GetPolicyToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ConsoleDisplayTables`— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes de la consola.
+ `ConsolePickQueryResultsBucketListAll`: permite a las entidades principales elegir, de una lista de todos los buckets de S3 disponibles, un bucket de Amazon S3 en el que se escriban los resultados de sus consultas.
+ `SetQueryResultsBucket`: permite a las entidades principales elegir un bucket de S3 en el que se escriban los resultados de sus consultas.
+ `ConsoleDisplayQueryResults`: permite a las entidades principales mostrar al cliente los resultados de las consultas, leídos desde el bucket de S3.
+ `WriteQueryResults`: permite a las entidades principales escribir los resultados de las consultas en un bucket de S3 propiedad del cliente.
+ `EstablishLogDeliveries`— Permite a los directores enviar registros de consultas al grupo de registros de Amazon CloudWatch Logs de un cliente.
+ `SetupLogGroupsDescribe`— Permite a los directores utilizar el proceso de creación de grupos de CloudWatch registros de Amazon Logs.
+ `SetupLogGroupsCreate`— Permite a los directores crear un grupo de CloudWatch registros de Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Permite a los directores configurar una política de recursos en el grupo de CloudWatch registros de Amazon Logs.
+ `ConsoleLogSummaryQueryLogs`: concede a las entidades principales permiso para ver los registros de consultas.
+ `ConsoleLogSummaryObtainLogs`: concede a las entidades principales permiso para recuperar los resultados de registro.
Para ver una lista en JSON de los detalles de la política, consulte [AWSCleanRoomsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccess.html)la *Guía de referencia de políticas AWS administradas*.
## AWS política gestionada: `AWSCleanRoomsFullAccessNoQuerying`
Puede adjuntar `AWSCleanRoomsFullAccessNoQuerying` a sus IAM principals.
Esta política otorga permisos administrativos que permiten el acceso total (lectura, escritura y actualización) a los recursos y metadatos de una AWS Clean Rooms colaboración. Esta política no incluye el acceso para realizar consultas.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `CleanRoomsAccess`— Otorga acceso total a todas las acciones de todos los recursos AWS Clean Rooms, excepto para las consultas en las colaboraciones.
+ `CleanRoomsNoQuerying`: deniega explícitamente `StartProtectedQuery` y `UpdateProtectedQuery` para impedir las consultas.
+ `PassServiceRole`: concede acceso para transferir un rol de servicio únicamente al servicio (condición `PassedToService`) cuyo nombre contenga "cleanrooms".
+ `ListRolesToPickServiceRole`— Permite a los directores enumerar todas sus funciones para poder elegir una función de servicio cuando la utilicen. AWS Clean Rooms
+ `GetRoleAndListRolePoliciesToInspectServiceRole`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ListPoliciesToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `GetPolicyToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ConsoleDisplayTables`— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes de la consola.
+ `EstablishLogDeliveries`— Permite a los directores enviar registros de consultas al grupo de registros de Amazon CloudWatch Logs de un cliente.
+ `SetupLogGroupsDescribe`— Permite a los directores utilizar el proceso de creación de grupos de CloudWatch registros de Amazon Logs.
+ `SetupLogGroupsCreate`— Permite a los directores crear un grupo de CloudWatch registros de Amazon Logs.
+ `SetupLogGroupsResourcePolicy`— Permite a los directores configurar una política de recursos en el grupo de CloudWatch registros de Amazon Logs.
+ `ConsoleLogSummaryQueryLogs`: concede a las entidades principales permiso para ver los registros de consultas.
+ `ConsoleLogSummaryObtainLogs`: concede a las entidades principales permiso para recuperar los resultados de registro.
+ `cleanrooms`: administre las colaboraciones, las plantillas de análisis, las tablas configuradas, las suscripciones y los recursos asociados dentro del servicio de AWS Clean Rooms . Realice diversas operaciones, como crear, actualizar, eliminar, mostrar y recuperar información sobre estos recursos.
+ `iam`— Transfiere al servicio las funciones de AWS Clean Rooms servicio cuyos nombres contengan `cleanrooms` «». Enumere las funciones y políticas e inspeccione las funciones y políticas de servicio relacionadas con el AWS Clean Rooms servicio.
+ `glue`— Recupere información sobre bases de datos, tablas, particiones y esquemas de AWS Glue. Esto es necesario para que el AWS Clean Rooms servicio muestre las fuentes de datos subyacentes e interactúe con ellas.
+ `logs`— Gestione las entregas de registros, los grupos de registros y las políticas de recursos para CloudWatch los registros. Consulte y recupere los registros relacionados con el AWS Clean Rooms servicio. Estos permisos son necesarios para la supervisión, la auditoría y la solución de problemas dentro del servicio.
La política también deniega explícitamente las acciones `cleanrooms:StartProtectedQuery` y `cleanrooms:UpdateProtectedQuery` para evitar que los usuarios ejecuten o actualicen directamente las consultas protegidas, lo que debe hacerse a través de los mecanismos controlados de AWS Clean Rooms .
Para obtener una lista en JSON de los detalles de la política, consulte [AWSCleanRoomsFullAccessNoQuerying](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsFullAccessNoQuerying.html)la *Guía de referencia de políticas AWS gestionadas*.
## AWS política gestionada: `AWSCleanRoomsMLReadOnlyAccess`
Puede adjuntar `AWSCleanRoomsMLReadOnlyAccess` a sus entidades principales de IAM.
Esta política otorga permisos de solo lectura a recursos y metadatos de una colaboración de `AWSCleanRoomsMLReadOnlyAccess`.
Esta política incluye los permisos siguientes:
+ `CleanRoomsConsoleNavigation`— Otorga acceso para ver las pantallas de la AWS Clean Rooms consola.
+ `CleanRoomsMLRead`: permite a las entidades principales el acceso de solo lectura al servicio de Clean Rooms ML.
+ `PassCleanRoomsResources`— Otorga acceso para pasar AWS Clean Rooms recursos específicos.
Para ver una lista en JSON de los detalles de la política, consulta [AWSCleanHabitaciones MLRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLReadOnlyAccess.html) en la *Guía de referencia sobre políticas AWS gestionadas*.
## AWS política gestionada: `AWSCleanRoomsMLFullAccess`
Puede adjuntar `AWSCleanRoomsMLFullAcces` a sus entidades principales de IAM. Esta política concede permisos administrativos que permiten el acceso total (lectura, escritura y actualización) a los recursos y metadatos necesarios de Clean Rooms ML.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `CleanRoomsMLFullAccess`: concede acceso a todas las acciones de Clean Rooms ML.
+ `PassServiceRole`: concede acceso para transferir un rol de servicio únicamente al servicio (condición `PassedToService`) cuyo nombre contenga "cleanrooms-ml".
+ `CleanRoomsConsoleNavigation`— Otorga acceso para ver las pantallas de la AWS Clean Rooms consola.
+ `CollaborationMembershipCheck`— Al iniciar un trabajo de generación de audiencia (segmento similar) dentro de una colaboración, el servicio Clean Rooms ML llama `ListMembers` para comprobar que la colaboración es válida, que la persona que llama es un miembro activo y que el propietario del modelo de audiencia configurado es un miembro activo. Este permiso siempre es obligatorio; el SID de navegación de la consola solo es necesario para los usuarios de la consola.
+ `PassCleanRoomsResources`— Otorga acceso para transferir recursos específicos AWS Clean Rooms .
+ `AssociateModels`: permite a las entidades principales asociar un modelo de Clean Rooms ML a la colaboración.
+ `TagAssociations`: permite a las entidades principales añadir etiquetas a la asociación entre un modelo similar y una colaboración.
+ `ListRolesToPickServiceRole`— Permite a los directores enumerar todas sus funciones para poder elegir una función de servicio cuando la utilicen AWS Clean Rooms.
+ `GetRoleAndListRolePoliciesToInspectServiceRole`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ListPoliciesToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `GetPolicyToInspectServiceRolePolicy`: permite a las entidades principales ver el rol de servicio y la política correspondiente en IAM.
+ `ConsoleDisplayTables`— Permite a los directores acceder de solo lectura a los AWS Glue metadatos necesarios para mostrar los datos sobre AWS Glue las tablas subyacentes de la consola.
+ `ConsolePickOutputBucket`: permite a las entidades principales seleccionar buckets de Amazon S3 para las salidas configuradas del modelo de audiencia.
+ `ConsolePickS3Location`: permite a las entidades principales seleccionar la ubicación dentro de un bucket para los resultados configurados del modelo de audiencia.
+ `ConsoleDescribeECRRepositories`— Permite a los directores describir los repositorios e imágenes de Amazon ECR.
Para ver una lista en JSON de los detalles de la política, consulte [AWSCleanRooms MLFull Access](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCleanRoomsMLFullAccess.html) en la Guía de referencia de *políticas AWS gestionadas*.
## AWS Clean Rooms actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS Clean Rooms desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS Clean Rooms documento.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery)— Actualización de la política existente | Se agregaron salas limpias: UpdateConfiguredTableAllowedColumns y salas limpias: UpdateConfiguredTableReference también. CleanRoomsAccess | 29 de julio de 2025 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only): actualización de una política actual | Se agregó PassCleanRoomsResources a AWSCleanRoomsMLReadOnlyAccess. Se agregaron PassCleanRoomsResources y ConsoleDescribeECRRepositories a AWSCleanRoomsMLFullAccess. | 10 de enero de 2025 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): actualización de una política actual | Se agregó cleanrooms:BatchGetSchemaAnalysisRule a CleanRoomsAccess. | 13 de mayo de 2024 |
| [AWSCleanRoomsFullAccess](#security-iam-awsmanpol-fullaccess): actualización de una política actual | Se ha actualizado el ID de la declaración en AWSCleanRoomsFullAccess de ConsolePickQueryResultsBucket a SetQueryResultsBucket en esta política para representar mejor los permisos, ya que los permisos son necesarios para configurar el bucket de resultados de las consultas con y sin la consola. | 21 de marzo de 2024 |
| [AWSCleanRoomsMLReadOnlyAccess](#ml-read-only): política nueva [AWSCleanRoomsMLFullAccess](#ml-full-access): política nueva | Se agregó AWSCleanRoomsMLReadOnlyAccess y AWSCleanRoomsMLFullAccess es compatible con AWS Clean Rooms ML. | 29 de noviembre de 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): actualización de una política actual | Se ha agregado cleanrooms:CreateAnalysisTemplate, cleanrooms:GetAnalysisTemplate, cleanrooms:UpdateAnalysisTemplate, cleanrooms:DeleteAnalysisTemplate, cleanrooms:ListAnalysisTemplates, cleanrooms:GetCollaborationAnalysisTemplate, cleanrooms:BatchGetCollaborationAnalysisTemplate y cleanrooms:ListCollaborationAnalysisTemplates a CleanRoomsAccess para habilitar la nueva característica de plantillas de análisis. | 31 de julio de 2023 |
| [AWSCleanRoomsFullAccessNoQuerying](#security-iam-awsmanpol-fullaccess-noquery): actualización de una política actual | Se ha añadido cleanrooms:ListTagsForResource, cleanrooms:UntagResource y cleanrooms:TagResource a CleanRoomsAccess para habilitar el etiquetado de recursos. | 21 de marzo de 2023 |
| AWS Clean Rooms comenzó a rastrear los cambios | AWS Clean Rooms comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 12 de enero de 2023 |
# Solución de problemas AWS Clean Rooms de identidad y acceso
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con una AWS Clean Rooms IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS Clean Rooms](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS Clean Rooms recursos](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en AWS Clean Rooms
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `cleanrooms:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cleanrooms:GetWidget on resource: my-example-widget
```
En este caso, la política de Mateo se debe actualizar para permitirle acceder al recurso `my-example-widget` mediante la acción `cleanrooms:GetWidget`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No estoy autorizado a realizar tareas como: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS Clean Rooms.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AWS Clean Rooms. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS Clean Rooms recursos
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol.
Para obtener más información, consulte lo siguiente:
+ Para saber si AWS Clean Rooms es compatible con estas funciones, consulte[¿Cómo AWS Clean Rooms funciona con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para obtener información sobre la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas, consulte [Cómo los roles de IAM difieren de las políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) en la *Guía del usuario de IAM*.
# Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar el confuso problema de un diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.
Se recomienda utilizar las claves de contexto de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) en las políticas de recursos para limitar los permisos que AWS Clean Rooms concede a otro servicio para el recurso. Utiliza `aws:SourceArn` si desea que solo se asocie un recurso al acceso entre servicios.
La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. En AWSClean Rooms, también tienes que compararla con la clave de condición. `sts:ExternalId`
El valor de `aws:SourceArn` debe definirse con el ARN de pertenencia del rol asumido.
El siguiente ejemplo muestra cómo usar la clave de contexto de condición global `aws:SourceArn` en AWS Clean Rooms para evitar el problema del suplente confuso.
**nota**
La política de ejemplo se aplica a la política de confianza del rol de servicio que se AWS Clean Rooms utiliza para acceder a los datos y metadatos de una tabla configurada.
El valor de ** debe establecerse en el ID de membresía del ejecutor de consultas.
Todos los miembros de la colaboración pueden ver los metadatos de la tabla configurada, por lo que cada ARN de membresía debe incluirse en la lista de miembros. ARNs
**nota**
Cuando se crea un rol de servicio a través de la AWS Clean Rooms consola, todos los miembros actuales de la colaboración se incluyen de forma predeterminada en la confusa condición de suplentes.
Si va a añadir nuevos miembros a una colaboración que ya tiene tablas configuradas asociadas, asegúrese de actualizar la confusa condición de suplente de su rol de servicio con el ARN de membresía del nuevo miembro.
Si no actualiza la confusa condición de suplente de su rol de servicio después de agregar un nuevo miembro, ese nuevo miembro no podrá acceder a la información AWS Clean Rooms que se recupere utilizando ese rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIfExternalIdMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"sts:ExternalId": "arn:aws:*:us-east-1:*:dbuser:*/*"
}
}
},
{
"Sid": "AllowIfSourceArnMatches",
"Effect": "Allow",
"Principal": {
"Service": "cleanrooms.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ForAnyValue:ArnEquals": {
"aws:SourceArn": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/",
"arn:aws:cleanrooms:us-east-1:444455556666:membership/"
]
}
}
}
]
}
```
------
# Comportamientos de IAM para AWS Clean Rooms ML
## Trabajos entre cuentas
Clean Rooms ML permite que otra Cuenta de AWS persona acceda de forma segura Cuenta de AWS a determinados recursos creados por una persona en su cuenta. Cuando un cliente de Cuenta de AWS A recurre `StartAudienceGenerationJob` a un `ConfiguredAudienceModel` recurso propiedad de Cuenta de AWS B, Clean Rooms ML crea dos ARNs para esa tarea. Un ARN en Cuenta de AWS A y otro en B. Cuenta de AWS ARNs Son idénticos excepto por sus. Cuenta de AWS
Clean Rooms ML crea dos ARNs para el trabajo a fin de garantizar que ambas cuentas puedan aplicar sus propias políticas de IAM a los trabajos. Por ejemplo, ambas cuentas pueden usar el control de acceso basado en etiquetas y aplicar las políticas de su AWS organización. El trabajo procesa los datos de ambas cuentas, de modo que ambas cuentas pueden eliminar el trabajo y sus datos asociados. Ninguna de las dos cuentas puede impedir que la otra elimine el trabajo.
Solo hay una ejecución de trabajo y ambas cuentas pueden ver la tarea cuando llaman a `ListAudienceGenerationJobs`. Ambas cuentas pueden llamar al `Get``Delete`, y `Export` APIs estar trabajando usando el ARN con su propia Cuenta de AWS identificación.
Ninguno de los dos Cuenta de AWS puede acceder al trabajo cuando se utiliza un ARN con el otro Cuenta de AWS ID.
El nombre del trabajo debe ser único dentro de una Cuenta de AWS. El nombre en Cuenta de AWS B es*\$1accountA-\$1name*. El nombre elegido por Cuenta de AWS A lleva el prefijo Cuenta de AWS A cuando el trabajo se visualiza en B. Cuenta de AWS
Para que una cuenta cruzada `StartAudienceGenerationJob` tenga éxito, Cuenta de AWS B debe permitir esa acción tanto en el nuevo trabajo de B como `ConfiguredAudienceModel` en el de Cuenta de AWS Cuenta de AWS B mediante una política de recursos similar a la del siguiente ejemplo:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Clean-Rooms-CAMA-ID",
"Effect": "Allow",
"Principal": {
"AWS": [
"111122223333"
]
},
"Action": [
"cleanrooms-ml:StartAudienceGenerationJob"
],
"Resource": [
"arn:aws:cleanrooms-ml:us-east-1:444455556666:configured-audience-model/id",
"arn:aws:cleanrooms-ml:us-east-1:444455556666:audience-generation-job/*"
],
"Condition":{"StringEquals":{"cleanrooms-ml:CollaborationId":"UUID"}}
}
]
}
```
------
**nota**
Esta política de recursos de aprendizaje AWS Clean Rooms automático hace referencia a dos tipos diferentes Cuenta de AWS IDs para facilitar la generación de audiencias entre cuentas:
**111122223333**: esta es la cuenta que contiene al principal (usuario, rol o servicio) autorizado a iniciar trabajos de generación de audiencia. Esta cuenta inicia el flujo de trabajo de procesamiento de aprendizaje automático.
**444455556666**: es la cuenta propietaria de los recursos de aprendizaje AWS Clean Rooms automático (el modelo de audiencia configurado y los trabajos de generación de audiencia). Esta cuenta aloja los modelos de aprendizaje automático y administra la ejecución de los trabajos.
**Notas de configuración adicionales:**
**ID de la declaración (Sid)**: `CAMA-ID` sustitúyalo por el identificador real de la solicitud de modelo de AWS Clean Rooms audiencia (CAMA) para que la declaración de política sea fácilmente identificable.
**Recurso IDs**: *id* Sustitúyalo por el ID real del modelo de audiencia configurado y *UUID* por el ID de colaboración específico.
**Condición**: la `cleanrooms-ml:CollaborationId` condición garantiza que los trabajos de generación de audiencia solo se puedan iniciar en el contexto de la AWS Clean Rooms colaboración especificada, lo que proporciona un límite de seguridad adicional.
Esta configuración multicuenta permite situaciones en las que una organización administra los modelos y la infraestructura del aprendizaje automático y, al mismo tiempo, permite a los socios autorizados iniciar los procesos de generación de audiencia dentro de los límites de su acuerdo de colaboración.
Si utiliza la [API de aprendizaje automático de AWS Clean Rooms](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/Welcome.html) para crear un modelo similar `manageResourcePolicies` configurado con el valor true, AWS Clean Rooms crea esta política automáticamente.
Además, la política de identidad de la persona que llama en Cuenta de AWS A necesita `StartAudienceGenerationJob` autorización. `arn:aws:cleanrooms-ml:us-west-1:AccountA:audience-generation-job/*` Por lo tanto, hay tres recursos de acción de IAM`StartAudienceGenerationJob`: el trabajo Cuenta de AWS A, el trabajo Cuenta de AWS B y el Cuenta de AWS trabajo B. `ConfiguredAudienceModel`
**aviso**
El Cuenta de AWS que inició el trabajo recibe un evento de registro de AWS CloudTrail auditoría sobre el trabajo. La Cuenta de AWS propietaria de `ConfiguredAudienceModel` no recibe ningún evento de registro de auditoría de AWS CloudTrail .
## Etiquetado de trabajos
Al establecer el parámetro `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` de `CreateConfiguredAudienceModel`, todos los trabajos de generación de segmentos similares de su cuenta que se creen a partir de ese modelo similar configurado tendrán de forma predeterminada las mismas etiquetas que el modelo similar configurado. El modelo similar configurado es el principal y el trabajo de generación de segmentos similares es el secundario.
Si está creando un trabajo en su propia cuenta, las etiquetas de solicitud del trabajo anulan las etiquetas principales. Los trabajos creados por otras cuentas nunca crean etiquetas en su cuenta. Si establece `childResourceTagOnCreatePolicy=FROM_PARENT_RESOURCE` y otra cuenta crea un trabajo, hay dos copias del trabajo. La copia de su cuenta tiene las etiquetas del recurso principal y la copia de la cuenta del remitente del trabajo tiene las etiquetas de la solicitud.
## Validación de colaboradores
Al conceder permisos a otros miembros de una AWS Clean Rooms colaboración, la política de recursos debe incluir la clave de condición`cleanrooms-ml:CollaborationId`. Esto exige que el `collaborationId` parámetro esté incluido en la [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)solicitud. Cuando el parámetro `collaborationId` se incluye en la solicitud, Clean Rooms ML valida que la colaboración existe, que el remitente del trabajo es un miembro activo de la colaboración y que el propietario del modelo similar configurado es un miembro activo de la colaboración.
Cuando AWS Clean Rooms administre la política de recursos del modelo similar configurada (el `manageResourcePolicies` parámetro está `TRUE` en la [CreateConfiguredAudienceModelAssociation solicitud](https://docs.aws.amazon.com/clean-rooms/latest/apireference/API_CreateConfiguredAudienceModelAssociation.html)), esta clave de condición se establecerá en la política de recursos. Por lo tanto, debe especificar la entrada`collaborationId`. [StartAudienceGenerationJob](https://docs.aws.amazon.com/cleanrooms-ml/latest/APIReference/API_StartAudienceGenerationJob.html)
## Acceso entre cuentas
Solo se puede llamar a `StartAudienceGenerationJob` entre cuentas. El resto de Clean Rooms ML solo se APIs pueden utilizar con los recursos de su propia cuenta. Esto garantiza que sus datos de entrenamiento, la configuración del modelo similar y otra información permanezcan privados.
Clean Rooms ML nunca revela Amazon S3 ni AWS Glue las ubicaciones de las cuentas. La ubicación de los datos de entrenamiento, la ubicación de salida del modelo similar configurado y la ubicación inicial del trabajo de generación de segmentos similar nunca están visibles entre cuentas. A menos que el registro de consultas esté habilitado en la colaboración, las cuentas no pueden ver si los datos iniciales provienen de una consulta SQL o la consulta en sí. Si `Get` un trabajo de generación de audiencia enviado por otra cuenta, el servicio no mostrará la ubicación inicial.
# Comportamientos de IAM para los modelos personalizados de Clean Rooms ML
## Trabajos entre cuentas
Clean Rooms ML permite que otra Cuenta de AWS persona acceda de forma segura a determinados recursos asociados Cuenta de AWS a una colaboración creada por una persona desde su cuenta. Un cliente de Cuenta de AWS A con la capacidad de realizar consultas como miembro puede llamar `CreateTrainedModel` o utilizar `StartTrainedModelInferenceJob` un `ConfiguredModelAlgorithmAssociation` recurso propiedad de otro miembro de la colaboración, siempre que lo permita la `ConfiguredModelAlgorithmAssociation` regla de análisis personalizada creada con ella`CreateConfiguredTableAnalysisRule`. `CreateMLInputChannel`
Además, cualquier miembro activo de una colaboración puede eliminar los datos asociados a un modelo entrenado o a un canal de entrada de aprendizaje automático mediante el comando `DeleteTrainedModelOutput` and `DeleteMLInputChannelData` APIs.
## Acceso entre cuentas
Clean Rooms ML permite a los usuarios recuperar metadatos sobre los recursos creados por otras cuentas a través de `GetCollaboration` y `ListCollaboration` APIs. Clean Rooms ML no revela la clave del KMS ARNs, las etiquetas, las variables de entorno ni los hiperparámetros (para la `TrainedModel` acción) a otras cuentas.
## Acceso a membresías y colaboraciones
Al acceder a los recursos de membresía y colaboración en el contexto de los modelos personalizados de Clean Rooms ML, la política de identidad del usuario necesita permisos para las acciones `cleanrooms:PassMembership``cleanrooms:PassCollaboration`, o ambos. Todos los APIs que aceptan `membershipId` necesitan el `cleanrooms:PassMembership` permiso y todos los APIs que aceptan `collaborationId` necesitan el `cleanrooms:PassCollaboration` permiso. Se proporciona un ejemplo de política de identidad para un rol al que se puede llamar `createTrainedModel` en el contexto de un ID de membresía y al que se puede llamar `GetCollaborationTrainedModel` en el contexto de un ID de colaboración.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCleanroomsMLActions",
"Effect": "Allow",
"Action": [
"cleanrooms:PassCollaboration",
"cleanrooms:PassMembership"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowMembershipAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetMembership"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:membership/memberId"
]
},
{
"Sid": "AllowCollaborationAccess",
"Effect": "Allow",
"Action": [
"cleanrooms:GetCollaboration"
],
"Resource": [
"arn:aws:cleanrooms:us-east-1:111122223333:collaboration/collaborationId"
]
}
]
}
```
------