Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower Políticas de IAM para AWS Control Tower En este tema se ofrecen ejemplos de políticas basadas en identidad que muestran cómo un administrador de cuenta puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles) y, de ese modo, conceder permisos para realizar operaciones en recursos de AWS Control Tower. **importante** Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a los recursos de AWS Control Tower. Para obtener más información, consulte [Información general sobre la administración de los permisos de acceso a los recursos de AWS Control Tower](access-control-overview.md). # Permisos necesarios para utilizar la consola de AWS Control Tower AWS Control Tower crea tres roles automáticamente cuando configura una zona de aterrizaje. Los tres roles son necesarios para permitir el acceso a la consola. AWS Control Tower divide los permisos en tres roles como práctica recomendada para restringir el acceso a los conjuntos mínimos de acciones y recursos. **Tres roles obligatorios para el acceso a la zona de aterrizaje** + [AWS ControlTowerAdmin rol](access-control-managing-permissions.md#AWSControlTowerAdmin) + [AWS ControlTowerStackSetRole](access-control-managing-permissions.md#AWSControlTowerStackSetRole) Le recomendamos que restrinja el acceso a las políticas de confianza de rol para estos roles. Para obtener más información, consulte [Optional conditions for your role trust relationships](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html). ## Consulta de Control Catalog en la consola Para ver información de control en la consola de AWS Control Tower, debe añadir permisos adicionales de `controlcatalog` a sus políticas de IAM. Estos permisos son los siguientes: + `controlcatalog:GetControl` + `controlcatalog:ListControls` + `controlcatalog:ListControlMappings` + `controlcatalog:ListCommonControls` Este es un ejemplo que muestra los permisos actualizados en la política. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "controlcatalog:GetControl", "controlcatalog:ListControls", "controlcatalog:ListControlMappings", "controlcatalog:ListCommonControls" ], "Resource": [ "*" ], "Effect": "Allow" } ] } ``` ------ Debe añadir estos permisos porque la Torre de Control de AWS los llama `controlcatalog` APIs para recuperar determinados metadatos de control, por lo que los permisos de la Torre de Control de AWS no son suficientes. Para obtener más información sobre cómo actualizar los permisos, consulte [Creación de roles y asignación de permisos](https://docs.aws.amazon.com//controltower/latest/userguide/assign-permissions.html). Para obtener más información acerca de las acciones de `controlcatalog` de IAM, consulte [Acciones, recursos y claves de condición de Control Catalog](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awscontrolcatalog.html). **nota** La información de control está disponible en el [catálogo de control APIs](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/Welcome.html). ## AWS ControlTowerAdmin rol Este rol proporciona a AWS Control Tower acceso a infraestructuras esenciales para el mantenimiento de la zona de aterrizaje. El rol `AWS ControlTowerAdmin` requiere una política administrada asociada y una política de confianza de rol para el rol de IAM. Una *política de confianza de rol* es una política basada en recursos que especifica qué entidades principales puede asumir el rol. A continuación se muestra un fragmento de código de ejemplo para esta política de confianza de rol: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "controltower.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ Para crear este rol desde la AWS CLI y colocarlo en un archivo llamado`trust.json`, este es un ejemplo de comando CLI: ``` aws iam create-role --role-name AWSControlTowerAdmin --path /service-role/ --assume-role-policy-document file://trust.json ``` Este rol requiere dos políticas de IAM. 1. Una política insertada, por ejemplo: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:DescribeAvailabilityZones", "Resource": "*" } ] } ``` ------ 1. La siguiente política administrada, que es la `AWS ControlTowerServiceRolePolicy`. ## AWS ControlTowerServiceRolePolicy **AWS ControlTowerServiceRolePolicy**Se trata de una política AWS administrada que define los permisos para crear y administrar los recursos de la Torre de Control de AWS, como AWS CloudFormation conjuntos de pilas e instancias apiladas, archivos de AWS CloudTrail registro, un agregador de configuraciones para la Torre de Control de AWS, así como AWS Organizations cuentas y unidades organizativas (OUs) que se rigen por la Torre de Control de AWS. Las actualizaciones de esta política administrada se resumen en la tabla [Políticas administradas para AWS Control Tower](managed-policies-table.md). Para obtener más información, consulte la Guía de referencia de [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerServiceRolePolicy.html)políticas *AWS administradas*. Política de confianza de rol: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "controltower.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ La política insertada es `AWS ControlTowerAdminPolicy`: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "ec2:DescribeAvailabilityZones", "Resource": "*", "Effect": "Allow" } ] } ``` ------ ## AWS ControlTowerIdentityCenterManagementPolicy Esta política otorga permisos para configurar los recursos de IAM Identity Center (IdC) en las cuentas de miembros inscritas en AWS Control Tower. Si selecciona IAM Identity Center como proveedor de identidad durante la configuración (o la actualización) de la zona de aterrizaje en AWS Control Tower, esta política se asocia al rol `AWS ControlTowerAdmin`. Para ver más detalles sobre la política, incluyendo la última versión del documento de política JSON, consulte [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSControlTowerIdentityCenterManagementPolicy.html) en la *Guía de referencia de políticas administradas de AWS *. ## AWS ControlTowerStackSetRole CloudFormation asume esta función para implementar conjuntos de pilas en las cuentas creadas por AWS Control Tower. Política insertada: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSControlTowerExecution" ], "Effect": "Allow" } ] } ``` ------ **Política de confianza** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ ## AWS ControlTowerCloudTrailRolePolicy AWS Control Tower CloudTrail lo habilita como práctica recomendada y proporciona esta función a CloudTrail. CloudTrail asume esta función para crear y publicar CloudTrail registros. **Política gestionada:** `AWS ControlTowerCloudTrailRolePolicy` Esta función usa la política AWS administrada`AWS ControlTowerCloudTrailRolePolicy`, que otorga CloudTrail los permisos necesarios para publicar registros de auditoría en Amazon CloudWatch Logs en nombre de AWS Control Tower. Esta política gestionada sustituye a la política en línea que se utilizaba anteriormente para este rol, lo que permite AWS actualizar la política sin la intervención del cliente. Para obtener más información, consulte la *Guía [AWS ControlTowerCloudTrailRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerCloudTrailRolePolicy.html)de referencia de políticas AWS gestionadas*. Las actualizaciones de esta política administrada se resumen en la tabla [Políticas administradas para AWS Control Tower](managed-policies-table.md). **nota** Antes de la introducción de la política gestionada, este rol utilizaba una política en línea con permisos equivalentes. La política en línea se ha sustituido por la política gestionada para permitir actualizaciones fluidas. **Política en línea anterior (como referencia):** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": "logs:CreateLogStream", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" }, { "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:aws-controltower/CloudTrailLogs:*", "Effect": "Allow" } ] } ``` ------ **Política de confianza** ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ ## AWS ControlTowerBlueprintAccess requisitos de función AWS Control Tower requiere que cree el rol `AWS ControlTowerBlueprintAccess` en la cuenta principal de esquema designada, dentro de la misma organización. **Nombre del rol** El nombre del rol debe ser `AWS ControlTowerBlueprintAccess`. **Política de confianza de rol** El rol debe configurarse de manera que confíe en las siguientes entidades principales: + La entidad principal que utiliza AWS Control Tower en la cuenta de administración. + El rol `AWS ControlTowerAdmin` en la cuenta de administración. En el siguiente ejemplo se muestra un ejemplo de política de confianza de privilegio mínimo. Cuando cree su propia política, sustituya el término *YourManagementAccountId* por el ID real de la cuenta de administración de AWS Control Tower y sustituya el término *YourControlTowerUserRole* por el identificador del rol de IAM de la cuenta de administración. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::111122223333:role/YourControlTowerUserRole" ] }, "Action": "sts:AssumeRole", "Condition": {} } ] } ``` ------ **Permisos de rol** Debe adjuntar la política gestionada **AWSServiceCatalogAdminFullAccess**al rol. ## AWSServiceRoleForAWSControlTorre Este rol otorga a AWS Control Tower acceso a la cuenta de archivo de registro, a la cuenta de auditoría y a las cuentas de miembro para realizar operaciones fundamentales de mantenimiento de la zona de aterrizaje, como la notificación de recursos desviados. El rol `AWS ServiceRoleFor AWS ControlTower` requiere una política administrada asociada y una política de confianza de rol para el rol de IAM. **Política administrada para este rol: **`AWS ControlTowerAccountServiceRolePolicy` Política de confianza de rol: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "controltower.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` ------ ## AWS ControlTowerAccountServiceRolePolicy Esta política AWS gestionada permite a AWS Control Tower llamar en su nombre a AWS los servicios que proporcionan una configuración de cuentas automatizada y un gobierno centralizado. La política contiene los permisos mínimos para que la Torre de Control de AWS implemente el reenvío de AWS Security Hub CSPM hallazgos para los recursos administrados por los controles CSPM de Security Hub que forman parte del estándar administrado por el **servicio CSPM de Security Hub: AWS Control Tower**, e impide cambios que restrinjan la capacidad de administrar las cuentas de los clientes. Forma parte del proceso de detección de desviaciones de AWS Security Hub CSPM en segundo plano no iniciado directamente por un cliente. La política otorga permisos para crear EventBridge reglas de Amazon, específicamente para los controles CSPM de Security Hub, en cada cuenta de miembro, y estas reglas deben especificar una exacta. EventPattern Además, una regla solo puede actuar sobre reglas administradas por la entidad principal de servicio. **Entidad principal de servicio:** `controltower.amazonaws.com` Para obtener más información, consulte la Guía [AWS ControlTowerAccountServiceRolePolicy](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSControlTowerAccountServiceRolePolicy.html)de *referencia de políticas AWS gestionadas*. Las actualizaciones de esta política administrada se resumen en la tabla [Políticas administradas para AWS Control Tower](managed-policies-table.md). # Políticas administradas para AWS Control Tower AWS aborda muchos casos de uso comunes al proporcionar políticas de IAM independientes que son creadas y administradas por. AWS Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte[ Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*. | Cambio | Descripción | Fecha | | --- | --- | --- | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy): actualización de una política actual | AWS Control Tower agregó nuevos permisos que permiten a AWS Control Tower realizar llamadas a la API del AWS CloudFormation servicio `BatchDescribeTypeConfigurations` para mejorar internamente los enlaces vinculados a servicios. | 23 de marzo de 2026 | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy): actualización de una política actual | AWS Control Tower actualizó una política existente para mejorar la precisión de la validación de las condiciones de las EventBridge reglas de Amazon. La actualización cambia la `events:detail-type` condición de `StringEquals` a `ForAllValues:StringEquals` para controlar mejor la coincidencia de patrones de eventos y, al mismo tiempo, mantener los mismos permisos funcionales. | 30 de diciembre de 2025 | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy): actualización de una política actual | AWS Control Tower agregó una nueva política que amplía los siguientes permisos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/controltower/latest/userguide/managed-policies-table.html) | 10 de noviembre de 2025 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy)— Política gestionada actualizada | AWS Control Tower actualizó el patrón de recursos de Amazon CloudWatch Logs AWS ControlTowerServiceRolePolicy para admitir la AWS CloudTrail integración opcional de Landing Zone 4.0. El patrón cambió de `aws-controltower/CloudTrailLogs:*` a y, después`aws-controltower/CloudTrailLogs*:*`, se agregó un carácter comodín `CloudTrailLogs` para permitir la administración de grupos de registros con cualquier sufijo. Esta actualización habilita la AWS CloudTrail integración opcional de Landing Zone 4.0, que permite a los clientes activar y desactivar AWS CloudTrail la integración varias veces. Cada vez que se habilita la integración, los grupos de CloudWatch registros de Amazon Logs se vuelven a crear con sufijos únicos para evitar conflictos de nombres. La actualización es compatible con versiones anteriores de las implementaciones existentes. | 31 de octubre de 2025 | | [AWS ControlTowerCloudTrailRolePolicy](access-control-managing-permissions.md#AWSControlTowerCloudTrailRolePolicy) – Nueva política administrada | AWS Control Tower introdujo la política AWS ControlTowerCloudTrailRolePolicy administrada, que permite CloudTrail crear flujos de registro y publicar eventos de registro en grupos de CloudWatch registros de Amazon Logs administrados por Control Tower. Esta política gestionada sustituye a la política en línea que utilizaba anteriormente AWS ControlTowerCloudTrailRole, lo que permite AWS actualizar la política sin la intervención del cliente. El objetivo de la política es registrar grupos con nombres que coincidan con el patrón. `aws-controltower/CloudTrailLogs*` | 31 de octubre de 2025 | | [AWS ControlTowerIdentityCenterManagementPolicy](access-control-managing-permissions.md#AWSControlTowerIdentityCenterManagementPolicy): una política nueva | AWS Control Tower ha agregado una nueva política que permite a los clientes configurar los recursos del IAM Identity Center en cuentas que están inscritas en AWS Control Tower y permite a AWS Control Tower corregir algunos tipos de desviación al inscribir cuentas automáticamente. Este cambio es necesario para que los clientes puedan configurar el IAM Identity Center en AWS Control Tower y para que AWS Control Tower pueda corregir la desviación de inscripción automática. | 10 de octubre de 2025 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy): actualización de una política actual | AWS Control Tower agregó nuevos CloudFormation permisos que permiten a AWS Control Tower consultar e implementar recursos de conjuntos apilados en las cuentas de los miembros al inscribir automáticamente las cuentas en la Torre de Control de AWS. | 10 de octubre de 2025 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy): actualización de una política actual | AWS Control Tower agregó nuevos permisos que permiten a los clientes habilitar y deshabilitar las reglas vinculadas a servicios AWS Config . Este cambio es necesario para que los clientes puedan administrar controles que implementan reglas de Config. | 5 de junio de 2025 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy): actualización de una política actual | AWS Control Tower agregó nuevos permisos que permiten a AWS Control Tower realizar llamadas al AWS CloudFormation servicio APIs `ActivateType` `DeactivateType``SetTypeConfiguration`, `AWS::ControlTower types` etc. Este cambio permite a los clientes aprovisionar controles proactivos sin necesidad de implementar tipos CloudFormation de enlaces privados. | 10 de diciembre de 2024 | | [AWS ControlTowerAccountServiceRolePolicy](access-control-managing-permissions.md#account-service-role-policy): una política nueva | AWS Control Tower agregó una nueva función vinculada a un servicio que permite a AWS Control Tower crear y administrar reglas de eventos y, en función de esas reglas, administrar la detección de desviaciones para los controles relacionados con Security Hub CSPM. Este cambio es necesario para que los clientes puedan ver los recursos desviados en la consola, cuando esos recursos están relacionados con los controles CSPM de Security Hub que forman parte del estándar gestionado por el **servicio CSPM de Security Hub:** AWS Control Tower. | 22 de mayo de 2023 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy): actualización de una política actual | AWS Control Tower agregó nuevos permisos que permiten a AWS Control Tower realizar llamadas al servicio de administración de cuentas `EnableRegion``ListRegions`, e `GetRegionOptStatus` APIs implementados por el servicio de administración de AWS cuentas, para que la suscripción Regiones de AWS esté disponible para las cuentas de los clientes en la zona de aterrizaje (cuenta de administración, cuenta de archivo de registros, cuenta de auditoría, cuentas de miembros de la OU). Este cambio es necesario para que los clientes puedan tener la opción de ampliar la gobernanza de las regiones de inscripción de AWS Control Tower. | 6 de abril de 2023 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy): actualización de una política actual | AWS Control Tower añadió permisos nuevos para poder asumir el rol `AWSControlTowerBlueprintAccess` en la cuenta de esquema (principal), que es una cuenta dedicada en una organización que contiene esquemas predefinidos almacenados en uno o varios productos de Service Catalog. AWS Control Tower asume el rol `AWSControlTowerBlueprintAccess` para realizar tres tareas: crear una cartera de Service Catalog, añadir el producto esquema solicitado y compartir la cartera con una cuenta de miembro solicitada en el momento del aprovisionamiento de la cuenta. Este cambio es necesario para que los clientes puedan aprovisionar cuentas personalizadas a través del generador de cuentas de AWS Control Tower. | 28 de octubre de 2022 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy): actualización de una política actual | AWS Control Tower agregó nuevos permisos que permiten a los clientes configurar AWS CloudTrail rutas a nivel de organización, a partir de la versión 3.0 de landing zone. La CloudTrail función basada en la organización requiere que los clientes tengan habilitado el acceso de confianza al CloudTrail servicio y que el usuario o rol de IAM tenga permiso para crear un registro a nivel de organización en la cuenta de administración. | 20 de junio de 2022 | | [AWS ControlTowerServiceRolePolicy](access-control-managing-permissions.md#AWSControlTowerServiceRolePolicy): actualización de una política actual | AWS Control Tower añadió permisos nuevos que permiten a los clientes utilizar el cifrado de claves KMS. La función KMS permite a los clientes proporcionar su propia clave de KMS para cifrar sus registros. CloudTrail Los clientes también pueden cambiar la clave de KMS durante la actualización o reparación de la zona de aterrizaje. Al actualizar la clave de KMS, AWS CloudFormation necesita permisos para llamar a la AWS CloudTrail `PutEventSelector` API. El cambio en la política consiste en permitir que el **AWS ControlTowerAdmin**rol llame a la AWS CloudTrail `PutEventSelector` API. | 28 de julio de 2021 | | AWS Control Tower comenzó a realizar el seguimiento de los cambios | AWS Control Tower comenzó a realizar un seguimiento de los cambios en sus políticas AWS administradas. | 27 de mayo de 2021 |