Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Permisos de IAM necesarios para que Elastic Beanstalk acceda a secretos y parámetros
Debe conceder los permisos necesarios a las instancias EC2 de su entorno para obtener los secretos y los parámetros del almacén de AWS Systems Manager parámetros. AWS Secrets Manager Los permisos se proporcionan a las instancias de EC2 mediante un [rol de perfil de instancia](iam-instanceprofile.md) de EC2.
En las siguientes secciones se enumeran los permisos específicos que debe añadir a un perfil de instancia de EC2, según el servicio que utilice. Siga los pasos que se indican en [Actualizar la política de permisos de un rol](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-permissions.html) en la *Guía del usuario de IAM* para añadir estos permisos.
**Permisos de IAM para la plataforma Docker administrada por ECS**
La plataforma Docker administrada por ECS requiere permisos de IAM adicionales a los que se proporcionan en este tema. Para obtener más información sobre todos los permisos necesarios para que su entorno de plataforma Docker administrada por ECS admita la integración de las variables de entorno de Elastic Beanstalk con los secretos, consulte [Formato de ARN del rol de ejecución](create_deploy_docker_v2config.md#create_deploy_docker_v2config_executionRoleArn_format).
**Topics**
+ [Permisos IAM necesarios para Secrets Manager](#AWSHowTo.secrets.IAM-permissions.secrets-manager)
+ [Permisos de IAM necesarios para el Almacén de parámetros de Systems Manager](#AWSHowTo.secrets.IAM-permissions.ssm-paramter-store)
## Permisos IAM necesarios para Secrets Manager
Los siguientes permisos permiten acceder a los secretos cifrados del almacén: AWS Secrets Manager
+ administrador de secretos: GetSecretValue
+ kms:Decrypt
El permiso para descifrar un secreto solo AWS KMS key es necesario si el secreto utiliza una clave gestionada por el cliente en lugar de la clave predeterminada. Si añade su ARN de clave personalizada, se agrega el permiso para descifrar la clave administrada por el cliente.
**Example política con permisos de Secrets Manager y clave KMS**
****
```
{
"Version": "{{2012-10-17}}",
"Statement": [
{
"Effect": "{{Allow}}",
"Action": [
"{{secretsmanager:GetSecretValue}}",
"{{kms:Decrypt}}"
],
"Resource": [
"{{arn:aws:secretsmanager:us-east-1:{{111122223333}}:secret:my-secret}}",
"{{arn:aws:kms:us-east-1:{{111122223333}}:key/my-key}}"
]
}
]
}
```
## Permisos de IAM necesarios para el Almacén de parámetros de Systems Manager
Los siguientes permisos permiten acceder a los parámetros cifrados del almacén de AWS Systems Manager parámetros:
+ ssm: GetParameter
+ kms:Decrypt
El permiso para descifrar una solo AWS KMS key es necesario para los tipos de `SecureString` parámetros que utilizan una clave gestionada por el cliente en lugar de una clave predeterminada. Si añade su ARN de clave personalizada, se agrega el permiso para descifrar la clave administrada por el cliente. Los tipos de parámetros normales que no están `StringList` cifrados `String` y no necesitan una AWS KMS key.
**Example política con Systems Manager y permisos AWS KMS clave**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "{{Allow}}",
"Action": [
"{{ssm:GetParameter}}",
"{{kms:Decrypt}}"
],
"Resource": [
"{{arn:aws:ssm:us-east-1:{{111122223333}}:parameter/my-parameter}}",
"{{arn:aws:kms:us-east-1:{{111122223333}}:key/my-key}}"
]
}
]
}
```