

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Otorgar a los usuarios y grupos AWS gestionados de Microsoft AD acceso a AWS los recursos con funciones de IAM
<a name="ms_ad_manage_roles"></a>

AWS Directory Service ofrece la posibilidad de dar a los usuarios y grupos de Microsoft AD AWS gestionado acceso a AWS servicios y recursos, como el acceso a la consola Amazon EC2. De forma similar a conceder a los usuarios de IAM acceso para gestionar directorios[Políticas basadas en identidades (políticas de IAM)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased), tal como se describe en, para que los usuarios de su directorio tengan acceso a otros AWS recursos, como Amazon EC2, debe asignar funciones y políticas de IAM a esos usuarios y grupos. Para obtener más información, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) en la *Guía del usuario de IAM*.

Para obtener información sobre cómo conceder a los usuarios acceso al Consola de administración de AWS, consulte. [Habilitar el Consola de administración de AWS acceso con credenciales AWS administradas de Microsoft AD](ms_ad_management_console_access.md)

**Topics**
+ [Creación de un rol de IAM nuevo](create_role.md)
+ [Edición de la relación de confianza para un rol de IAM existente](edit_trust.md)
+ [Asignación de usuarios o grupos a un rol de IAM existente](assign_role.md)
+ [Visualización de los usuarios y los grupos asignados a una función](view_role_details.md)
+ [Eliminación de un usuario o grupo de un rol de IAM](remove_role_users.md)
+ [Uso de políticas AWS administradas con Directory Service](ms_ad_managed_policies.md)

# Creación de un rol de IAM nuevo
<a name="create_role"></a>

Si necesita crear un nuevo rol de IAM para usarlo con él Directory Service, debe crearlo mediante la consola de IAM. Una vez creado el rol, debe establecer una relación de confianza con ese rol antes de poder verlo en la Directory Service consola. Para obtener más información, consulte [Edición de la relación de confianza para un rol de IAM existente](edit_trust.md).

**nota**  
El usuario que haga esta tarea debe tener permiso para ejecutar las siguientes acciones de IAM. Para obtener más información, consulte [Políticas basadas en identidades (políticas de IAM)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased).  
Nombre: PassRole
objetivo: GetRole
objetivo: CreateRole
objetivo: PutRolePolicy

**Creación de un nuevo rol en la consola de IAM**

1. En el panel de navegación de la consola de IAM, elija **Roles**. Para obtener más información, consulte [Creación de un rol (Consola de administración de AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) en *Guía del usuario de IAM*. 

1. Elija **Crear rol**.

1. En **Choose the service that will use this role (Elija el servicio que utilizará este rol)**, seleccione **Directory Service (Servicio de directorio)** y **Next (Siguiente)**.

1. Seleccione la casilla de verificación situada junto a la política (por ejemplo, **Amazon EC2 FullAccess**) que desee aplicar a los usuarios del directorio y, a continuación, seleccione **Siguiente**.

1. Si es necesario, añada una etiqueta al rol y, a continuación, seleccione **Next (Siguiente)**.

1. Escriba un nombre en **Role name (Nombre del rol)** y una descripción opcional en **Description (Descripción)** y, a continuación, elija **Create role (Crear rol)**.

**Ejemplo: Creación de un rol para habilitar el acceso a la Consola de administración de AWS **

La siguiente lista de comprobación proporciona un ejemplo de las tareas que debe realizar para crear una nueva función de IAM que permita a determinados usuarios gestionados de AWS Microsoft AD acceder a la consola Amazon EC2.

1. Cree un rol con la consola de IAM utilizando el procedimiento anterior. Cuando se te pida una política, elige **Amazon EC2 FullAccess**.

1. Utilice los pasos que se indican en [Edición de la relación de confianza para un rol de IAM existente](edit_trust.md) para editar el rol que acaba de crear y, a continuación, añada la información de relación de confianza necesaria al documento de política. Este paso es necesario para que el rol esté visible inmediatamente después de habilitar el acceso al rol Consola de administración de AWS en el siguiente paso.

1. Siga los pasos que se indican en [Habilitar el Consola de administración de AWS acceso con credenciales AWS administradas de Microsoft AD](ms_ad_management_console_access.md) para configurar el acceso general a la Consola de administración de AWS.

1. Siga los pasos que se indican en [Asignación de usuarios o grupos a un rol de IAM existente](assign_role.md) para asignar el nuevo rol a los usuarios que necesitan acceso completo a los recursos de EC2.

# Edición de la relación de confianza para un rol de IAM existente
<a name="edit_trust"></a>

Puede asignar las funciones de IAM existentes a sus Directory Service usuarios y grupos. Sin embargo, para ello, el rol debe tener una relación de confianza con Directory Service. Al Directory Service crear un rol mediante el procedimiento indicado en[Creación de un rol de IAM nuevo](create_role.md), esta relación de confianza se establece automáticamente.

**nota**  
Solo tiene que establecer esta relación de confianza para las roles de IAM que no haya creado Directory Service.

**Para establecer una relación de confianza para un rol de IAM existente con Directory Service**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación de la consola de IAM, en **Administración de accesos**, elija **Roles**.

   La consola muestra los roles asociados a su cuenta.

1. Elija el nombre del rol que desea modificar y, una vez que esté en la página que corresponda al rol deseado, seleccione la pestaña **Relaciones de confianza**.

1. Elija **Editar la política de confianza**.

1. En **Documento de política**, pegue lo siguiente y, a continuación, seleccione **Actualizar política de confianza**.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": {
           "Service": "ds.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

También puede actualizar este documento de política mediante AWS CLI. Para obtener más información, consulte [update-trust](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html) en la *Referencia de comandos de la AWS CLI *.

# Asignación de usuarios o grupos a un rol de IAM existente
<a name="assign_role"></a>

Puede asignar una función de IAM existente a un usuario o grupo de Microsoft AD AWS administrado. Para ello, asegúrese de haber completado lo siguiente:

**Requisitos previos**
+ [Cree un Microsoft AD AWS administrado](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [Cree un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html) o [creación de un grupo de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html).
+ [Cree un rol](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) que tenga una relación de confianza con Directory Service. Para roles de IAM que ya existan, tendrá que [editar la relación de confianza para un rol existente](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html).

**importante**  
No se admite el acceso de los usuarios de Microsoft AD AWS administrados en grupos anidados de su directorio. Los miembros del grupo principal tienen acceso a la consola, pero los miembros de los grupos secundarios no.

**Para asignar usuarios o grupos AWS gestionados de Microsoft AD a una función de IAM existente**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), en **Active Directory**, elija **Directorios**.

1. En la página **Directorios**, elija el ID del directorio.

1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:

   1. Si no aparece ninguna región en la sección **Replicación de varias regiones**, seleccione la pestaña **Administración de aplicaciones**.

   1. Si tiene varias regiones en la sección **Replicación de varias regiones**, seleccione la región en la que desee hacer las asignaciones, a continuación, elija la pestaña **Administración de aplicaciones**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).

1. Desplácese hacia abajo hasta la sección de la **Consola de administración de AWS**, seleccione **Acciones** y **Habilitar**.

1. En la sección **Delegar el acceso a la consola**, elija el nombre del rol de IAM para el rol de IAM existente al que desea asignar usuarios.

1. En la página **Selected role (Rol seleccionado)**, en **Manage users and groups for this role (Administrar usuarios y grupos para este rol)**, elija **Add (Añadir)**.

1. En la página **Agregar usuarios y grupos al rol**, junto a **Seleccionar bosque de Active Directory**, elija el bosque de AWS Managed Microsoft AD (este bosque) o el bosque en las instalaciones (bosque de confianza), el que contenga la ubicación de las cuentas que necesitan obtener acceso a la Consola de administración de AWS. Para obtener más información sobre cómo configurar un bosque de confianza, consulte [Tutorial: Cree una relación de confianza entre su Microsoft AD AWS administrado y su dominio de Active Directory autoadministrado](ms_ad_tutorial_setup_trust.md).

1. En **Specify which users or groups to add (Especificar usuarios y grupos a añadir)**, seleccione **Find by user (Buscar por usuario)** o **Find by group (Buscar por grupo)** y, a continuación, escriba el nombre del usuario o grupo. En la lista de posibles coincidencias, elija el usuario o el grupo que desee añadir.

1. Seleccione **Add** para terminar de asignar usuarios y grupos al rol.

# Visualización de los usuarios y los grupos asignados a una función
<a name="view_role_details"></a>

Para ver los usuarios y grupos AWS administrados de Microsoft AD asignados a una función de IAM, lleve a cabo los siguientes pasos.

**Requisitos previos**
+ [Cree un Microsoft AD AWS administrado](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [Cree un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html) o [creación de un grupo de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html).
+ [Cree un rol](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) que tenga una relación de confianza con Directory Service. Para roles de IAM que ya existan, tendrá que [editar la relación de confianza para un rol existente](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html).
+ [Asigne usuarios o grupos a un rol de IAM existente](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/assign_role.html).

**Para ver los usuarios y grupos AWS administrados de Microsoft AD asignados a una función de IAM**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), en **Active Directory**, elija **Directorios**.

1. En la página **Directorios**, elija el ID del directorio.

1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:

   1. Si tiene varias regiones en la sección **Replicación de varias regiones**, seleccione la región en la que desee ver las asignaciones, a continuación, elija la pestaña **Administración de aplicaciones**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).

   1. Si no aparece ninguna región en la sección **Replicación de varias regiones**, seleccione la pestaña **Administración de aplicaciones**.

1. Desplácese hacia abajo hasta la sección de la **Consola de administración de AWS**. El **estado** debe estar **activado**. Si no es así, elija **Acciones** y **Habilitar**. Para obtener más información, consulte [Habilitar el Consola de administración de AWS acceso con credenciales AWS administradas de Microsoft AD](ms_ad_management_console_access.md).
**nota**  
No verás ningún grupo o usuario si Consola de administración de AWS está deshabilitado.

1. En la sección **Acceso delegado a la consola**, seleccione el enlace del rol de IAM que desea ver. Como alternativa, puede seleccionar **Ver política en IAM** para ver la política de IAM en la consola de IAM. 

1. En la página **Rol seleccionado**, en **Administrar los usuarios y grupos para este rol**, puede ver los usuarios y grupos asignados al rol de IAM.

# Eliminación de un usuario o grupo de un rol de IAM
<a name="remove_role_users"></a>

Para eliminar un usuario o grupo de Microsoft AD AWS administrado de una función de IAM, lleve a cabo los siguientes pasos.

**Eliminación de un usuario o un grupo de un rol de IAM**

1. En el panel de navegación de la [consola de AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), elija **Directorios**.

1. En la página **Directorios**, elija el ID del directorio.

1. En la página **Detalles del directorio**, lleve a cabo una de las siguientes operaciones:

   1. Si tiene varias regiones en la sección **Replicación de varias regiones**, seleccione la región en la que desee eliminar las asignaciones, a continuación, elija la pestaña **Administración de aplicaciones**. Para obtener más información, consulte [Regiones principales frente a las adicionales](multi-region-global-primary-additional.md).

   1. Si no aparece ninguna región en la sección **Replicación de varias regiones**, seleccione la pestaña **Administración de aplicaciones**.

1. En la sección de la **Consola de administración de AWS**, seleccione el rol de IAM del cual desea eliminar usuarios y grupos. 

1. En la página **Selected role (Rol seleccionado)**, en **Manage users and groups for this role (Administrar usuarios y grupos para este rol)**, seleccione los usuarios o grupos de los que desea eliminar el rol y elija **Remove (Eliminar)**. La función se elimina de los usuarios y los grupos especificados, pero no de su cuenta.
**nota**  
Si desea eliminar un rol, consulte [Eliminar roles o perfiles de instancia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html).

# Uso de políticas AWS administradas con Directory Service
<a name="ms_ad_managed_policies"></a>

Directory Service proporciona las siguientes políticas AWS gestionadas para dar a sus usuarios y grupos acceso a AWS los servicios y recursos, como el acceso a la EC2 consola de Amazon. Debe iniciar sesión en la Consola de administración de AWS para poder ver estas políticas. 
+ [Acceso de solo lectura](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [Acceso de usuario avanzado](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [Directory Service acceso completo](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceFullAccess)
+ [Directory Service acceso de solo lectura](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceReadOnlyAccess)
+ [AWS Acceso completo a los datos de Directory Service](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataFullAccess)
+ [AWS Acceso de solo lectura a datos de Directory Service](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataReadOnlyAccess)
+ [Acceso completo a Amazon Cloud Directory](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess)
+ [Acceso de solo lectura a Amazon Cloud Directory](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess)
+ [Acceso EC2 completo a Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)
+ [Acceso de solo EC2 lectura a Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
+ [Acceso completo a Amazon VPC](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess)
+ [Acceso de solo lectura a Amazon VPC](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess)
+ [Acceso completo a Amazon RDS](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSFullAccess)
+ [Acceso de solo lectura a Amazon RDS](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess)
+ [Acceso completo a Amazon DynamoDB](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess)
+ [Acceso de solo lectura a Amazon DynamoDB](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess)
+ [Acceso completo a Amazon S3](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess)
+ [Acceso de solo lectura a Amazon S3](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess)
+ [AWS CloudTrail acceso completo](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailFullAccess)
+ [AWS CloudTrail acceso de solo lectura](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailReadOnlyAccess)
+ [Acceso CloudWatch completo a Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchFullAccess)
+ [Acceso de solo CloudWatch lectura a Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess)
+ [Acceso completo a Amazon CloudWatch Logs](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsFullAccess)
+ [Acceso de solo lectura a Amazon CloudWatch Logs](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsReadOnlyAccess)

Para obtener más información sobre cómo crear sus propias políticas, consulte [Ejemplos de políticas para administrar AWS recursos](https://docs.aws.amazon.com/console/iam/example-policies) en la *Guía del usuario de IAM*.