Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Amazon FSx para Lustre
La seguridad en AWS es la principal prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y de centros de datos diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.
La seguridad es una responsabilidad compartida entre AWS y el usuario. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta los servicios de AWS en Amazon Web Services Cloud. AWS también brinda servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de conformidad que se aplican a Amazon FSx for Lustre, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad se determina según el servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida a la hora de utilizar Amazon FSx for Lustre. En los siguientes temas, se mostrará cómo configurar Amazon FSx para satisfacer sus objetivos de seguridad y conformidad. También puede aprender a usar otros servicios de Amazon que ayudan a supervisar y proteger los recursos de Amazon FSx for Lustre.
A continuación encontrará una descripción de las consideraciones de seguridad para trabajar con Amazon FSx.
**Topics**
+ [Protección de los datos en Amazon FSx for Lustre](data-protection.md)
+ [Administración de identidades y accesos para Amazon FSx for Lustre](security-iam.md)
+ [Control de acceso al sistema de archivos con Amazon VPC](limit-access-security-groups.md)
+ [ACL de la red de Amazon VPC](limit-access-acl.md)
+ [Validación de la conformidad de Amazon FSx para Lustre](fsx-lustre-compliance.md)
+ [Amazon FSx para Lustre y Puntos de conexión de VPC de interfaz (AWS PrivateLink)](fsx-vpc-endpoints.md)
# Protección de los datos en Amazon FSx for Lustre
El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/), y de AWS se aplica a la protección de datos de Amazon FSx for Lustre. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye las situaciones en las que debe trabajar con la Amazon FSx u otros Servicios de AWS a través de la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
**Topics**
+ [Cifrado de datos en Amazon FSx for Lustre](encryption-fsxl.md)
+ [Privacidad del tráfico entre redes](internetwork-privacy.md)
# Cifrado de datos en Amazon FSx for Lustre
Amazon FSx for Lustre admite dos formas de cifrado para sistemas de archivos, el cifrado de datos en reposo y el cifrado de datos en tránsito. El cifrado de los datos en reposo se activa de forma automática al crear un sistema de archivos Amazon FSx. El cifrado de datos en tránsito se habilita automáticamente cuando accede a un sistema de archivos de Amazon FSx desde [instancias de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) que admiten esta característica.
## Cuándo usar cifrado
Si su organización está sujeta a políticas reglamentarias o corporativas que requieren el cifrado de datos y metadatos en reposo, recomendamos crear un sistema de archivos cifrados y montar el sistema de archivos con el cifrado de datos en tránsito.
Para obtener más información sobre cómo crear un sistema de archivos cifrado en reposo mediante la consola, consulte [Crear el sistema de archivos de Amazon FSx for Lustre](getting-started.md#getting-started-step1).
**Topics**
+ [Cuándo usar cifrado](#whenencrypt)
+ [Cifrado de datos en reposo](encryption-at-rest.md)
+ [Cifrado de datos en tránsito](encryption-in-transit-fsxl.md)
# Cifrado de datos en reposo
El cifrado de los datos en reposo se habilita automáticamente al crear un sistema de archivos de Amazon FSx for Lustre mediante la Consola de administración de AWS, la AWS CLI o mediante programación a través de la API de Amazon FSx o uno de los SDK de AWS. Su organización podría necesitar el cifrado en reposo de todos los datos que cumplan una clasificación específica o que se asocien a una determinada aplicación, carga de trabajo o entorno. Si crea un sistema de archivos persistente, puede especificar la clave AWS KMS con la que se cifrarán los datos. Si crea un sistema de archivos Scratch, los datos se cifran usando claves gestionadas por Amazon FSx. Para obtener más información sobre cómo crear un sistema de archivos cifrado en reposo mediante la consola, consulte [Crear el sistema de archivos de Amazon FSx for Lustre](getting-started.md#getting-started-step1).
**nota**
La infraestructura de gestión de claves de AWS utiliza algoritmos criptográficos aprobados por el estándar de procesamiento de la información federal (FIPS) 140-2. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.
Para obtener más información sobre cómo FSx para Lustre utiliza AWS KMS, consulte [Cómo Amazon FSx for Lustre usa AWS KMS](#FSXKMS).
## Funcionamiento del cifrado en reposo
En un sistema de archivos cifrados, los datos y los metadatos se cifran automáticamente antes de escribirse en el sistema de archivos. Del mismo modo, cuando se leen los datos y metadatos, se descifran automáticamente antes de que se presenten a la aplicación. Estos procesos los administra Amazon FSx for Lustre de forma transparente, por lo que no tiene que modificar sus aplicaciones.
Amazon FSx for Lustre usa el algoritmo de cifrado AES-256 estándar del sector para cifrar datos en reposo de sistemas de archivos. Para obtener más información, consulte los [Conceptos básicos de la criptografía](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) en la *Guía del desarrollador de AWS Key Management Service*.
## Cómo Amazon FSx for Lustre usa AWS KMS
Amazon FSx for Lustre cifra datos de manera automática antes de escribirse en el sistema de archivos y los descifra de la misma manera a medida que se leen. Los datos se cifran mediante un cifrado de bloques XTS-AES-256. Todos los sistemas de archivos scratch de FSx para Lustre se cifran en reposo mediante claves administradas por AWS KMS. Amazon FSx for Lustre se integra con AWS KMS para la administración de claves Las claves utilizadas para cifrar los sistemas de archivos Scratch en reposo son únicas por sistema de archivos y se destruyen una vez eliminado el sistema de archivos. En el caso de los sistemas de archivos persistentes, debe elegir la clave de KMS usada para cifrar y descifrar los datos. Puede especificar qué clave se usará cuando se cree un sistema de archivos persistente. Puede habilitar, deshabilitar o revocar concesiones en esta clave de KMS. Esta clave de KMS puede ser de uno de los dos siguientes tipos:
+ **Clave administrada de AWSpara Amazon FSx**: es la clave de KMS predeterminada. No se le cobrará por crear ni almacenar una clave de KMS, pero sí por utilizarla. Para más información, consulte [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
+ **Clave administrada por el cliente**: se trata de la clave de KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información acerca de la creación de claves administradas por el cliente, consulte la [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la* Guía para desarrolladores de AWS Key Management Service*.
Si utiliza una clave administrada por el cliente como clave de KMS para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave gestionada por el cliente en cualquier momento.
**importante**
Amazon FSx solo admite claves KMS de cifrado simétricas. No puede utilizar claves KMS asimétricas con Amazon FSx.
### Políticas de claves de Amazon FSx para AWS KMS
Las políticas de claves son la forma principal de controlar el acceso a las claves KMS. Para obtener más información acerca de las políticas de claves, consulte [Uso de las políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la *Guía para desarrolladores de AWS Key Management Service*.En la siguiente lista se describen todos los permisos relacionados con AWS KMS que Amazon FSx admite para sistemas de archivos cifrados en reposo:
+ **kms:Encrypt**: (opcional) cifra texto no cifrado en texto cifrado. Este permiso está incluido en la política de claves predeterminada.
+ **kms: Decrypt**: (obligatorio) descifra texto cifrado. El texto cifrado es texto no cifrado que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.
+ **kms:ReEncrypt**: (opcional) cifra datos del lado del servidor con una nueva clave de KMS, sin exponer el texto no cifrado de los datos en el lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.
+ **kms:GenerateDataKeyWithoutPlaintext**: (obligatorio) devuelve una clave de cifrado de datos cifrada con una clave de KMS. Este permiso está incluido en la política de claves predeterminada en **kms:GenerateDataKey\$1**.
+ **kms:CreateGrant**: (obligatorio) añade una concesión a una clave para especificar quién puede utilizar la clave y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte [Uso de concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS Key Management Service*. Este permiso está incluido en la política de claves predeterminada.
+ **kms:DescribeKey**: (obligatorio) proporciona información detallada acerca de la clave de KMS especificada. Este permiso está incluido en la política de claves predeterminada.
+ **kms:ListAliases**: (opcional) muestra todos los alias de clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista para seleccionar la clave de KMS. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.
# Cifrado de datos en tránsito
Los sistemas de archivos persistentes y scratch 2 pueden cifrar automáticamente los datos en tránsito cuando se accede a ellos desde instancias de Amazon EC2 que admiten el cifrado en tránsito. También lo hacen para todas las comunicaciones entre hosts en el sistema de archivos. Para saber qué instancias de EC2 admiten el cifrado en tránsito, consulte [Cifrado en tránsito](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) en la *guía del usuario de Amazon EC2*.
Para obtener una lista de las Regiones de AWS en las que Amazon FSx para Lustre está disponible, consulte [Disponibilidad del tipo de implementación](using-fsx-lustre.md#persistent-deployment-regions).
# Privacidad del tráfico entre redes
Este tema describe cómo Amazon FSx protege las conexiones desde el servicio a otras ubicaciones.
## Tráfico entre Amazon FSx y clientes en las instalaciones
Tiene dos opciones de conectividad entre su red privada y AWS:
+ Una conexión de AWS Site-to-Site VPN. Para obtener más información, consulte [¿Qué es AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Una conexión de AWS Direct Connect. Para obtener más información, consulte [¿Qué es AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
Puede acceder a FSx para Lustre a través de la red para acceder a las operaciones de API publicadas por AWS para realizar tareas administrativas y a los puertos de Lustre para interactuar con el sistema de archivos.
### Cifrar el tráfico de la API
Para acceder a las operaciones de API publicadas AWS, los clientes deben ser compatibles con la seguridad de la capa de transporte (TLS) 1.2 o una versión posterior. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3. Los clientes también deben admitir conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos. Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede utilizar [AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) para generar credenciales de seguridad temporales para firmar solicitudes.
### Cifrado del tráfico de datos
El cifrado de los datos en tránsito se habilita desde las instancias EC2 compatibles que acceden a los sistemas de archivos desde dentro de Nube de AWS. Para obtener más información, consulte [Cifrado de datos en tránsito](encryption-in-transit-fsxl.md). FSx para Lustre no ofrece cifrado de forma nativa en tránsito entre clientes locales y sistemas de archivos.
# Administración de identidades y accesos para Amazon FSx for Lustre
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos de Amazon FSx . El IAM es un Servicio de AWS servicio que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Amazon FSx for Lustre con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en identidad para Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para Amazon FSx for Lustre](security-iam-awsmanpol.md)
+ [Solución de problemas de identidad y acceso a Amazon FSx for Lustre](security_iam_troubleshoot.md)
+ [Uso de etiquetas con Amazon FSx](using-tags-fsx.md)
+ [Uso de roles vinculados a servicios para Amazon FSx](using-service-linked-roles.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso a Amazon FSx for Lustre](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon FSx for Lustre con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en identidad para Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon FSx for Lustre con IAM
Antes de utilizar IAM para gestionar el acceso a Amazon FSx, consulta qué funciones de IAM están disponibles para su uso con Amazon. FSx
**Funciones de IAM que puedes usar con Amazon FSx for Lustre**
| Característica de IAM | FSx Soporte de Amazon |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo funcionan Amazon FSx y otros AWS servicios con la mayoría de las funciones de IAM, consulta [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas basadas en la identidad de Amazon FSx
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en identidad para Amazon FSx
Para ver ejemplos de políticas de Amazon FSx basadas en la identidad, consulta. [Ejemplos de políticas basadas en identidad para Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Políticas basadas en recursos en Amazon FSx
**Admite políticas basadas en recursos:** no
## Acciones políticas para Amazon FSx
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de FSx las acciones de Amazon, consulta [Acciones definidas por Amazon FSx para Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) en la *Referencia de autorización de servicio*.
Las acciones políticas en Amazon FSx usan el siguiente prefijo antes de la acción:
```
fsx
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Para ver ejemplos de políticas de Amazon FSx basadas en la identidad, consulta. [Ejemplos de políticas basadas en identidad para Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Recursos de políticas para Amazon FSx
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de FSx recursos de Amazon y sus tipos ARNs, consulte [Recursos definidos por Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies) en la *Referencia de autorización de servicio*. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas FSx por Amazon for](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) Lustre.
Para ver ejemplos de políticas de Amazon FSx basadas en la identidad, consulta. [Ejemplos de políticas basadas en identidad para Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Claves de condición de la política para Amazon FSx
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de claves de FSx estado de Amazon, consulta [Claves de estado de Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys) en la *Referencia de autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Para ver ejemplos de políticas de Amazon FSx basadas en la identidad, consulta. [Ejemplos de políticas basadas en identidad para Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Listas de control de acceso (ACLs) en Amazon FSx
**Soporta ACLs:** No
## Control de acceso basado en atributos (ABAC) con Amazon FSx
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre el etiquetado de FSx los recursos de Amazon, consulte[Etiquetar los recursos de Amazon FSx para Lustre](tag-resources.md).
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon](using-tags-fsx.md#restrict-fsx-access-tags).
## Uso de credenciales temporales con Amazon FSx
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando utilizas la federación o cambias de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Sesiones de acceso directo para Amazon FSx
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos del operador principal que realiza la llamada Servicio de AWS, junto con los de solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para Amazon FSx
**Compatible con roles de servicio:** No
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir la FSx funcionalidad de Amazon. Edita las funciones de servicio solo cuando Amazon te FSx dé instrucciones para hacerlo.
## Funciones vinculadas a servicios para Amazon FSx
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre la creación y la gestión de funciones FSx vinculadas a los servicios de Amazon, consulte. [Uso de roles vinculados a servicios para Amazon FSx](using-service-linked-roles.md)
# Ejemplos de políticas basadas en identidad para Amazon for Lustre FSx
De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar FSx los recursos de Amazon. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por Amazon FSx, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [Acciones, recursos y claves de condición de Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html) en la *Referencia de autorización de servicio*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la FSx consola de Amazon](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar FSx los recursos de Amazon de tu cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la FSx consola de Amazon
Para acceder a la consola Amazon FSx for Lustre, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirte enumerar y ver detalles sobre los FSx recursos de Amazon que tienes Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la AWS API AWS CLI o a la misma. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la FSx consola de Amazon, adjunta también la política `AmazonFSxConsoleReadOnlyAccess` AWS gestionada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
Puedes ver esta `AmazonFSxConsoleReadOnlyAccess` y otras políticas de servicios FSx gestionados de Amazon en[AWS políticas gestionadas para Amazon FSx for Lustre](security-iam-awsmanpol.md).
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gestionadas para Amazon FSx for Lustre
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## Amazon FSx ServiceRolePolicy
Permite FSx a Amazon gestionar AWS los recursos en tu nombre. Consulte [Uso de roles vinculados a servicios para Amazon FSx](using-service-linked-roles.md) para obtener más información.
## AWS política gestionada: Amazon FSx DeleteServiceLinkedRoleAccess
No puede asociar `AmazonFSxDeleteServiceLinkedRoleAccess` a sus entidades IAM. Esta política está vinculada a un servicio, y se utiliza únicamente con un rol vinculado a un servicio de dicho servicio. No puede adjuntar, separar, modificar ni eliminar esta política. Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon FSx](using-service-linked-roles.md).
Esta política concede permisos administrativos que permiten FSx a Amazon eliminar su función vinculada a servicios para el acceso a Amazon S3, que solo utiliza Amazon FSx for Lustre.
**Detalles de los permisos**
Esta política incluye permisos que permiten `iam` FSx a Amazon ver, eliminar y ver el estado de eliminación de las funciones vinculadas al FSx servicio para el acceso a Amazon S3.
Para ver los permisos de esta política, consulta [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx FullAccess
Puedes adjuntar Amazon FSx FullAccess a tus entidades de IAM. Amazon FSx también vincula esta política a un rol de servicio que permite FSx a Amazon realizar acciones en tu nombre.
Proporciona acceso completo a Amazon FSx y acceso a los AWS servicios relacionados.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores tener acceso total para realizar todas las FSx acciones de Amazon, excepto`BypassSnaplockEnterpriseRetention`.
+ `ds`— Permite a los directores ver información sobre los Directory Service directorios.
+ `ec2`
+ Permite que las entidades principales creen etiquetas en las condiciones especificadas.
+ Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).
+ `iam`— Permite a los principios crear un rol vinculado a los FSx servicios de Amazon en nombre del usuario. Esto es necesario para que Amazon FSx pueda gestionar AWS los recursos en nombre del usuario.
+ `firehose`: permite que las entidades principales escriban los registros en Amazon Data Firehose. Esto es necesario FSx para que los usuarios puedan supervisar el acceso al sistema de archivos de Windows File Server enviando los registros de acceso de auditoría a Firehose.
+ `logs`: permite que las entidades principales creen grupos de registros, registren flujos y escriban eventos en los flujos de registro. Esto es necesario FSx para que los usuarios puedan supervisar el acceso al sistema de archivos del servidor de archivos de Windows enviando los registros de acceso de auditoría a CloudWatch Logs.
Para ver los permisos de esta política, consulta [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx ConsoleFullAccess
Puede asociar la política `AmazonFSxConsoleFullAccess` a las identidades de IAM.
Esta política otorga permisos administrativos que permiten el acceso total a Amazon FSx y a los AWS servicios relacionados a través del Consola de administración de AWS.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores realizar todas las acciones en la consola FSx de administración de Amazon, excepto`BypassSnaplockEnterpriseRetention`.
+ `cloudwatch`— Permite a los directores ver CloudWatch las alarmas y las métricas en la consola de FSx administración de Amazon.
+ `ds`— Permite a los directores enumerar información sobre un Directory Service directorio.
+ `ec2`
+ Permite a los directores crear etiquetas en las tablas de enrutamiento, enumerar las interfaces de red, las tablas de enrutamiento, los grupos de seguridad, las subredes y la VPC asociada a un sistema de archivos de Amazon. FSx
+ Permite a las entidades principales que proporcionen una validación mejorada de grupos de seguridad de todos los que se pueden usar con una VPC.
+ Permite a los directores ver las interfaces de red elásticas asociadas a un sistema de FSx archivos de Amazon.
+ `kms`— Permite a los directores enumerar los alias de las claves. AWS Key Management Service
+ `s3`: permite que las entidades principales creen listas de algunos o todos los objetos de un bucket de Amazon S3 (hasta 1000).
+ `iam`— Otorga permiso para crear un rol vinculado a un servicio que permita FSx a Amazon realizar acciones en nombre del usuario.
Para ver los permisos de esta política, consulta [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx ConsoleReadOnlyAccess
Puede asociar la política `AmazonFSxConsoleReadOnlyAccess` a las identidades de IAM.
Esta política otorga permisos de solo lectura a Amazon FSx y los AWS servicios relacionados para que los usuarios puedan ver información sobre estos servicios en. Consola de administración de AWS
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores ver información sobre los sistemas de FSx archivos de Amazon, incluidas todas las etiquetas, en Amazon FSx Management Console.
+ `cloudwatch`— Permite a los directores ver CloudWatch las alarmas y las métricas en Amazon FSx Management Console.
+ `ds`— Permite a los directores ver información sobre un Directory Service directorio en Amazon FSx Management Console.
+ `ec2`
+ Permite a los directores ver las interfaces de red, los grupos de seguridad, las subredes y la VPC asociada a un sistema de FSx archivos de Amazon en Amazon Management Console. FSx
+ Permite a las entidades principales que proporcionen una validación mejorada de grupos de seguridad de todos los que se pueden usar con una VPC.
+ Permite a los directores ver las interfaces de red elásticas asociadas a un sistema de FSx archivos de Amazon.
+ `kms`— Permite a los directores ver los alias de las AWS Key Management Service claves en Amazon FSx Management Console.
+ `log`— Permite a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.
+ `firehose`: permite que las entidades principales describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.
Para ver los permisos de esta política, consulta [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx ReadOnlyAccess
Puede asociar la política `AmazonFSxReadOnlyAccess` a las identidades de IAM.
+ `fsx`— Permite a los directores ver información sobre los sistemas de FSx archivos de Amazon, incluidas todas las etiquetas, en Amazon FSx Management Console.
+ `ec2`: para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC.
Para ver los permisos de esta política, consulta [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## Amazon FSx actualiza las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon FSx desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbete a la fuente RSS de la FSx [Historial del documento](doc-history.md) página de Amazon.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:AssignIpv6Addresses` que permite a los directores asignar IPv6 direcciones a las interfaces de red de los clientes que tienen una `AmazonFSx.FileSystemId` etiqueta. | 22 de julio de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:UnassignIpv6Addresses` que permite a los directores anular la asignación de IPv6 direcciones de las interfaces de red de los clientes que tienen una `AmazonFSx.FileSystemId` etiqueta. | 22 de julio de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:CreateAndAttachS3AccessPoint` que permite a los directores crear un punto de acceso S3 y adjuntarlo a un FSx volumen. | 25 de junio de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DescribeS3AccessPointAttachments` que permite a los directores enumerar todos los puntos de acceso S3 de forma Cuenta de AWS individual. Región de AWS | 25 de junio de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DetachAndDeleteS3AccessPoint` que permite a los directores eliminar un punto de acceso S3. | 25 de junio de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:CreateAndAttachS3AccessPoint` que permite a los directores crear un punto de acceso S3 y adjuntarlo a un FSx volumen. | 25 de junio de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DescribeS3AccessPointAttachments` que permite a los directores enumerar todos los puntos de acceso S3 de forma Cuenta de AWS individual. Región de AWS | 25 de junio de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DetachAndDeleteS3AccessPoint` que permite a los directores eliminar un punto de acceso S3. | 25 de junio de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:DescribeNetworkInterfaces` que permite a los directores ver las interfaces de red elásticas asociadas a su sistema de archivos. | 25 de febrero de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:DescribeNetworkInterfaces` que permite a los directores ver las interfaces de red elásticas asociadas a su sistema de archivos. | 7 de febrero de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación de datos entre regiones y cuentas FSx para los sistemas de archivos OpenZFS. | 20 de diciembre de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación de datos entre regiones y cuentas FSx para los sistemas de archivos OpenZFS. | 20 de diciembre de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación bajo demanda de volúmenes FSx para los sistemas de archivos OpenZFS. | 26 de noviembre de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación bajo demanda de volúmenes FSx para los sistemas de archivos OpenZFS. | 26 de noviembre de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los usuarios puedan ver, activar y desactivar el soporte de VPC compartido FSx para los sistemas de archivos Multi-AZ de ONTAP. | 14 de noviembre de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los usuarios puedan ver, activar y desactivar el soporte de VPC compartido FSx para los sistemas de archivos Multi-AZ de ONTAP. | 14 de noviembre de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos que permiten FSx a Amazon gestionar las configuraciones de red de los sistemas de FSx archivos Multi-AZ de OpenZFS. | 9 de agosto de 2023 |
| [AWS política gestionada: Amazon FSxServiceRolePolicy:](using-service-linked-roles.md#slr-permissions) actualización a una política existente | Amazon FSx modificó el `cloudwatch:PutMetricData` permiso existente para que Amazon FSx publique CloudWatch las métricas en el espacio de `AWS/FSx` nombres. | 24 de julio de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx actualizó la política para eliminar el `fsx:*` permiso y añadir `fsx` acciones específicas. | 13 de julio de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx actualizó la política para eliminar el `fsx:*` permiso y añadir `fsx` acciones específicas. | 13 de julio de 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los usuarios ver las métricas de rendimiento mejoradas y las acciones recomendadas FSx para los sistemas de archivos Windows File Server en la FSx consola de Amazon. | 21 de septiembre de 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los usuarios ver las métricas de rendimiento mejoradas y las acciones recomendadas FSx para los sistemas de archivos Windows File Server en la FSx consola de Amazon. | 21 de septiembre de 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): comenzó la política de seguimiento | Esta política otorga acceso de solo lectura a todos los FSx recursos de Amazon y a las etiquetas asociadas a ellos. | 4 de febrero de 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess): comenzó la política de seguimiento | Esta política concede permisos administrativos que permiten FSx a Amazon eliminar su función vinculada a servicios para el acceso a Amazon S3. | 7 de enero de 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon pueda FSx gestionar las configuraciones de red de Amazon FSx para los sistemas de archivos NetApp ONTAP. | 2 de septiembre de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx añadió nuevos permisos para que Amazon FSx cree etiquetas en las tablas de enrutamiento de EC2 para llamadas restringidas. | 2 de septiembre de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a Amazon crear Amazon FSx FSx para los sistemas de archivos Multi-AZ de NetApp ONTAP. | 2 de septiembre de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx añadió nuevos permisos para que Amazon FSx cree etiquetas en las tablas de enrutamiento de EC2 para llamadas restringidas. | 2 de septiembre de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon FSx pueda describir y escribir en las secuencias de registro de CloudWatch Logs. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de FSx los sistemas de archivos del servidor de archivos de Windows mediante CloudWatch registros. | 8 de junio de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon pueda FSx describir y escribir en las transmisiones de entrega de Amazon Data Firehose. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server mediante Amazon Data Firehose. | 8 de junio de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó nuevos permisos para permitir a los directores describir y crear grupos de CloudWatch registros, flujos de registro y escribir eventos en flujos de registro. Esto es necesario para que los directores puedan ver los registros de auditoría de acceso a los archivos de los sistemas de FSx archivos del servidor de archivos de Windows mediante CloudWatch registros. | 8 de junio de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los directores describir y escribir registros en una Amazon Data Firehose. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server mediante Amazon Data Firehose. | 8 de junio de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan elegir un grupo de CloudWatch registros existente al configurar la auditoría de acceso a los archivos FSx para un sistema de archivos del servidor de archivos de Windows. | 8 de junio de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los responsables describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan elegir un flujo de entrega de Firehose existente al configurar la auditoría de acceso a los archivos para FSx un sistema de archivos para Windows File Server. | 8 de junio de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows. | 8 de junio de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los responsables describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows. | 8 de junio de 2021 |
| Amazon FSx comenzó a rastrear los cambios | Amazon FSx comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 8 de junio de 2021 |
# Solución de problemas de identidad y acceso a Amazon FSx for Lustre
Utiliza la siguiente información para ayudarte a diagnosticar y solucionar los problemas habituales que puedes encontrar al trabajar con Amazon FSx e IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en Amazon FSx](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis FSx recursos de Amazon](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en Amazon FSx
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `fsx:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `fsx:GetWidget`.
Si necesitas ayuda, ponte en contacto con tu AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No estoy autorizado a realizar tareas como: PassRole
Si recibes un error que indica que no estás autorizado a realizar la `iam:PassRole` acción, debes actualizar tus políticas para que puedas transferir una función a Amazon FSx.
Algunas te Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada al servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Amazon FSx. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis FSx recursos de Amazon
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon FSx admite estas funciones, consulta[Cómo funciona Amazon FSx for Lustre con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de etiquetas con Amazon FSx
Puedes usar etiquetas para controlar el acceso a FSx los recursos de Amazon e implementar el control de acceso basado en atributos (ABAC). Para aplicar etiquetas a FSx los recursos de Amazon durante la creación, los usuarios deben tener ciertos permisos AWS Identity and Access Management (de IAM).
## Conceder permisos para etiquetar recursos durante la creación
Con algunas acciones de la API de Amazon FSx for Lustre que crean recursos, puedes especificar etiquetas al crear el recurso. Puede utilizar estas etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulta [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
Para que los usuarios puedan etiquetar recursos durante su creación, deben tener permiso para utilizar la acción que crea el recurso, como `fsx:CreateFileSystem`. Si se especifican etiquetas en la acción de creación de recursos, IAM realiza una autorización adicional en la acción `fsx:TagResource` para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción `fsx:TagResource`.
El siguiente ejemplo de política permite a los usuarios crear sistemas de archivos y aplicarles etiquetas durante la creación de un sistema específico Cuenta de AWS.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*"
]
}
]
}
```
De la misma manera, la siguiente política permite que los usuarios creen copias de seguridad en un sistema de archivos específico, y apliquen cualquier etiqueta a la copia de seguridad durante la creación de la copia de seguridad.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
La acción `fsx:TagResource` solo se evalúa si se aplican etiquetas durante la acción de creación de recursos. Por lo tanto, un usuario que tenga permisos para crear un recurso (suponiendo que no existan condiciones de etiquetado) no necesita permiso para utilizar la acción `fsx:TagResource` si no se especifica ninguna etiqueta en la solicitud. Sin embargo, si el usuario intenta crear un recurso con etiquetas, la solicitud dará un error si el usuario no tiene permisos para utilizar la acción `fsx:TagResource`.
Para obtener más información sobre el etiquetado de FSx los recursos de Amazon, consulte[Etiquetar los recursos de Amazon FSx para Lustre](tag-resources.md). Para obtener más información sobre el uso de etiquetas para controlar el acceso a los recursos de Amazon FSx for Lustre, consulte[Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon](#restrict-fsx-access-tags).
## Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon
Para controlar el acceso a FSx los recursos y acciones de Amazon, puedes usar políticas de IAM basadas en etiquetas. Puede proporcionar este control de dos maneras:
+ Puedes controlar el acceso a FSx los recursos de Amazon en función de las etiquetas de esos recursos.
+ Puede controlar qué etiquetas se pueden pasar en una condición de solicitud IAM.
Para obtener información sobre cómo utilizar las etiquetas para controlar el acceso a AWS los recursos, consulte [Controlar el acceso mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la *Guía del usuario de IAM*. Para obtener más información sobre cómo etiquetar FSx los recursos de Amazon en el momento de la creación, consulte[Conceder permisos para etiquetar recursos durante la creación](#supported-iam-actions-tagging). Para obtener más información acerca del etiquetado de recursos, consulte [Etiquetar los recursos de Amazon FSx para Lustre](tag-resources.md).
### Control del acceso a un recurso en función de las etiquetas
Para controlar qué acciones puede realizar un usuario o un rol en un FSx recurso de Amazon, puedes usar etiquetas en el recurso. Por ejemplo, es posible que desee permitir o denegar acciones de la API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.
**Example Política de ejemplo: crear un sistema de archivos al proporcionar una etiqueta específica**
Esta política permite que el usuario cree un sistema de archivos solo cuando lo etiqueta con un par clave-valor específico, en este ejemplo, `key=Department, value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Política de ejemplo: crear copias de seguridad únicamente de los sistemas de archivos con una etiqueta específica**
Esta política permite que los usuarios creen copias de seguridad únicamente de los sistemas de archivos que estén etiquetados con el par clave-valor `key=Department, value=Finance`, y la copia de seguridad se creará con la etiqueta `Deparment=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Política de ejemplo: crear un sistema de archivos con una etiqueta específica a partir de copias de seguridad que tengan una etiqueta específica**
Esta política permite que los usuarios creen sistemas de archivos que tengan la etiqueta `Department=Finance` únicamente a partir de copias de seguridad etiquetadas con `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Política de ejemplo: eliminar los sistemas de archivos con etiquetas específicas**
Esta política permite que un usuario elimine únicamente los sistemas de archivos que estén etiquetados con `Department=Finance`. Si crea una copia de seguridad final, debe etiquetarla con `Department=Finance`. En el FSx caso de los sistemas de archivos de Lustre, los usuarios necesitan el `fsx:CreateBackup` privilegio de crear la copia de seguridad final.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Ejemplo de política: crear tareas de repositorio de datos en sistemas de archivos con una etiqueta específica**
Esta política permite a los usuarios crear tareas de repositorio de datos etiquetadas con `Department=Finance`, y solo en sistemas de archivos etiquetados con `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:task/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# Uso de roles vinculados a servicios para Amazon FSx
Amazon FSx usa roles AWS Identity and Access Management vinculados a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon. FSx Amazon predefine las funciones vinculadas al servicio FSx e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio facilita la configuración de Amazon FSx porque no tienes que añadir manualmente los permisos necesarios. Amazon FSx define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo Amazon FSx puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus FSx recursos de Amazon porque no puedes eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios para Amazon FSx
Amazon FSx utiliza dos funciones vinculadas a servicios denominadas `AWSServiceRoleForAmazonFSx` y `AWSServiceRoleForFSxS3Access_fs-01234567890` que realizan determinadas acciones en tu cuenta. Algunos ejemplos de estas acciones son la creación de interfaces de red elásticas para sus sistemas de archivos en su VPC y el acceso a su repositorio de datos en un bucket de Amazon S3. Para`AWSServiceRoleForFSxS3Access_fs-01234567890`, este rol vinculado a un servicio se crea para cada sistema de archivos de Amazon FSx for Lustre que cree y que esté vinculado a un bucket de S3.
### AWSServiceRoleForAmazonFSx detalles de permisos
`AWSServiceRoleForAmazonFSx`En efecto, la política de permisos de roles permite FSx a Amazon completar las siguientes acciones administrativas en nombre del usuario en todos los AWS recursos aplicables:
Para obtener actualizaciones de esta política, consulte [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
**nota**
AWSServiceRoleForAmazonFSx Lo utilizan todos los tipos de sistemas de FSx archivos de Amazon; algunos de los permisos enumerados no son aplicables a FSx Lustre.
+ `ds`— Permite FSx a Amazon ver, autorizar y desautorizar las aplicaciones de su Directory Service directorio.
+ `ec2`— Permite FSx a Amazon hacer lo siguiente:
+ Vea, cree y desasocie las interfaces de red asociadas a un sistema de FSx archivos de Amazon.
+ Vea una o más direcciones IP elásticas asociadas a un sistema de FSx archivos de Amazon.
+ Vea Amazon VPCs, los grupos de seguridad y las subredes asociados a un sistema de FSx archivos de Amazon.
+ Asigne IPv6 direcciones a las interfaces de red de los clientes que tengan una `AmazonFSx.FileSystemId` etiqueta.
+ Anule la asignación de IPv6 direcciones de las interfaces de red de los clientes que tengan una `AmazonFSx.FileSystemId` etiqueta.
+ Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).
+ Cree un permiso para que un usuario AWS autorizado realice determinadas operaciones en una interfaz de red.
+ `cloudwatch`— Permite FSx a Amazon publicar puntos de datos métricos CloudWatch en el espacio de FSx nombres AWS/.
+ `route53`— Permite FSx a Amazon asociar una Amazon VPC a una zona alojada privada.
+ `logs`— Permite FSx a Amazon describir y escribir en los flujos de registro de CloudWatch Logs. Esto permite a los usuarios enviar los registros de auditoría de acceso a los archivos de un sistema FSx de archivos del servidor de archivos de Windows a un flujo de CloudWatch registros.
+ `firehose`— Permite FSx a Amazon describir y escribir en las transmisiones de entrega de Amazon Data Firehose. Esto permite a los usuarios publicar los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server en una transmisión de entrega de Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Todas las actualizaciones de esta política están detalladas en [Amazon FSx actualiza las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la Guía del usuario de IAM.
### AWSServiceRoleForFSxDetalles de los permisos de S3Access
En efecto`AWSServiceRoleForFSxS3Access_file-system-id`, la política de permisos de roles permite FSx a Amazon realizar las siguientes acciones en un bucket de Amazon S3 que aloja el repositorio de datos de un sistema de archivos de Amazon FSx for Lustre.
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutObject`
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para Amazon FSx
No necesita crear manualmente un rol vinculado a servicios. Cuando creas un sistema de archivos en la Consola de administración de AWS AWS CLI, la o la AWS API, Amazon FSx crea el rol vinculado al servicio por ti.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando creas un sistema de archivos, Amazon vuelve a FSx crear el rol vinculado al servicio para ti.
## Edición de un rol vinculado a un servicio para Amazon FSx
Amazon FSx no te permite editar estas funciones vinculadas a servicios. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Amazon FSx
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.
**nota**
Si el FSx servicio de Amazon utiliza el rol cuando intentas eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios AWSServiceRoleForAmazonFSx. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con los roles vinculados a FSx los servicios de Amazon
Amazon FSx admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [Regiones y puntos de conexión de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Control de acceso al sistema de archivos con Amazon VPC
Se puede acceder a un sistema de archivos de Amazon FSx a través de una interfaz de red elástica que reside en la nube privada virtual (VPC) basada en el servicio Amazon VPC que asocie a su sistema de archivos. El acceso al sistema de archivos Amazon FSx se realiza a través de su nombre DNS, que se asigna a la interfaz de red del sistema de archivos. Solo los recursos dentro de la VPC asociada, o una VPC interconectada, pueden obtener acceso a la interfaz de red de su sistema de archivos. Para obtener más información, consulte [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) en la *Guía del usuario de Amazon VPC*.
**aviso**
No debe modificar ni eliminar la interfaz de red elástica de Amazon FSx. Si se modifica o elimina la interfaz de red, se puede provocar una pérdida permanente de la conexión entre la VPC y el sistema de archivos.
## Grupos de seguridad de Amazon VPC
Para controlar aún más el tráfico de red que pasa por la interfaz de red de su sistema de archivos dentro de su VPC, utilice grupos de seguridad para limitar el acceso a sus sistemas de archivos. Un *grupo de seguridad* actúa como un firewall virtual para controlar el tráfico de sus recursos asociados. En este caso, el recurso asociado es la interfaz de red de su sistema de archivos. También usa grupos de seguridad de VPC para controlar el tráfico de red de los clientes de Lustre.
### Grupos de seguridad compatibles con EFA
Si va a crear un FSx para Lustre compatible con EFA, primero debe crear un grupo de seguridad compatible con EFA y especificarlo como grupo de seguridad para el sistema de archivos. Un EFA requiere un grupo de seguridad que permita todo el tráfico entrante y saliente hacia y desde el propio grupo de seguridad y el grupo de seguridad de los clientes si los clientes residen en otro grupo de seguridad. Para más información, consulte [Paso 1: preparar un grupo de seguridad compatibles con EFA](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security) en la *Guía del usuario de Amazon EC2*.
### Controlar el acceso mediante reglas de entrada y salida
Para usar un grupo de seguridad para controlar el acceso al sistema de archivos de Amazon FSx y clientes de Lustre, agregue las reglas de entrada para controlar el tráfico entrante y las reglas de salida para controlar el tráfico saliente del sistema de archivos y clientes de Lustre. Asegúrese de que dispone de las reglas de tráfico de red adecuadas en su grupo de seguridad para asignar el recurso compartido de archivos de su sistema de archivos de Amazon FSx a una carpeta de su instancia de computación compatible.
Para obtener más información sobre las reglas del grupo de seguridad, consulte las [reglas del grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html#security-group-rules) en la *guía del usuario de Amazon EC2*.
**Cómo crear un grupo de seguridad para el sistema de archivos de Amazon FSx**
1. Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2).
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Elija **Crear grupo de seguridad**.
1. Especifique un nombre y una descripción para el grupo de seguridad.
1. Para la **VPC**, elija la VPC asociada a su sistema de archivos Amazon FSx para crear el grupo de seguridad dentro de esa VPC.
1. Para crear el grupo de seguridad, haga clic en **Crear**.
A continuación, agregue reglas de entrada al grupo de seguridad que acaba de crear para permitir el tráfico de Lustre entre los servidores de archivos de FSx para Lustre.
**Para agregar reglas de entrada a su grupo de seguridad**
1. Seleccione el grupo de seguridad que acaba de crear si aún no está seleccionado. En **Acciones**, elija **Editar reglas de entrada**.
1. Agregue las siguientes reglas de entrada.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Seleccione **Guardar** para guardar y aplicar las nuevas reglas de entrada.
De forma predeterminada, las reglas del grupo de seguridad permiten todo el tráfico saliente (Todos, 0.0.0.0/0). Si su grupo de seguridad no permite todo el tráfico saliente, agregue las siguientes reglas salientes a su grupo de seguridad. Estas reglas permiten el tráfico entre servidores de archivos de FSx para Lustre y clientes de Lustre y entre servidores de archivos de Lustre.
**Para agregar reglas de salida a su grupo de seguridad**
1. Elija el mismo grupo de seguridad al que acaba de añadir las reglas de entrada. En **Acciones**, elija **Editar reglas de salida**.
1. Agregue las siguientes reglas de salida.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Seleccione **Guardar** para guardar y aplicar las nuevas reglas de salida.
**Asociar el grupo de seguridad a su sistema de archivos de Amazon FSx**
1. Abra la consola de Amazon FSx en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. En el panel de control de la consola, elija el sistema de archivos para ver sus detalles.
1. En la pestaña **Red y seguridad**, haga clic en el enlace de la **consola de Amazon EC2** en **Interfaces de red** para ver todas las interfaces de red del sistema de archivos.
1. Para cada interfaz de red, elija **Acciones** y, luego, seleccione **Cambiar grupos de seguridad**.
1. En la caja de diálogo **Cambiar grupos de seguridad**, elija los grupos de seguridad que desea asociar a las interfaces de red.
1. Seleccione **Save**.
## Reglas del grupo de seguridad de VPC del cliente de Lustre
Puede usar los grupos de seguridad de la VPC para controlar el acceso a los clientes de Lustre agregando reglas de entrada para controlar el tráfico entrante y reglas de salida para controlar el tráfico saliente de los clientes de Lustre. Procure tener las reglas de tráfico de red adecuadas en el grupo de seguridad para garantizar que el tráfico de Lustre pueda fluir entre los clientes de Lustre y los sistemas de archivos de Amazon FSx.
Agregue las siguientes reglas de entrada a los grupos de seguridad aplicados a los clientes de Lustre.
| Tipo | Protocolo | Rango de puertos | Origen | Descripción |
| --- | --- | --- | --- | --- |
| Regla TCP personalizada | TCP | 988 | Elegir Personalizado e introducir los identificadores de grupo de seguridad de los grupos de seguridad que se aplican a los clientes de Lustre | Permite el tráfico de Lustre entre clientes de Lustre |
| Regla TCP personalizada | TCP | 988 | Elija Personalizado e introduzca los ID de los grupos de seguridad asociados a sus sistemas de archivo FSx para Lustre | Permite el tráfico de Lustre entre servidores de archivos de FSx para Lustre y clientes de Lustre |
| Regla TCP personalizada | TCP | 1018-1023 | Elegir Personalizado e introducir los identificadores de grupo de seguridad de los grupos de seguridad que se aplican a los clientes de Lustre | Permite el tráfico de Lustre entre clientes de Lustre |
| Regla TCP personalizada | TCP | 1018-1023 | Elija Personalizado e introduzca los ID de los grupos de seguridad asociados a sus sistemas de archivo FSx para Lustre | Permite el tráfico de Lustre entre servidores de archivos de FSx para Lustre y clientes de Lustre |
Agregue las siguientes reglas de salida a los grupos de seguridad aplicados a los clientes de Lustre.
| Tipo | Protocolo | Rango de puertos | Origen | Descripción |
| --- | --- | --- | --- | --- |
| Regla TCP personalizada | TCP | 988 | Elegir Personalizado e introducir los identificadores de grupo de seguridad de los grupos de seguridad que se aplican a los clientes de Lustre | Permite el tráfico de Lustre entre clientes de Lustre |
| Regla TCP personalizada | TCP | 988 | Elija Personalizado e introduzca los ID de los grupos de seguridad asociados a sus sistemas de archivo FSx para Lustre | Permita el tráfico de Lustre entre servidores de archivos de FSx para Lustre y clientes de Lustre |
| Regla TCP personalizada | TCP | 1018-1023 | Elegir Personalizado e introducir los identificadores de grupo de seguridad de los grupos de seguridad que se aplican a los clientes de Lustre | Permite el tráfico de Lustre entre clientes de Lustre |
| Regla TCP personalizada | TCP | 1018-1023 | Elija Personalizado e introduzca los ID de los grupos de seguridad asociados a sus sistemas de archivo FSx para Lustre | Permite el tráfico de Lustre entre servidores de archivos de FSx para Lustre y clientes de Lustre |
# ACL de la red de Amazon VPC
Otra opción para proteger el acceso al sistema de archivos de la VPC es establecer listas de control de acceso de la red (ACL de la red). Si bien las ACL de la red funcionan de forma separada de los grupos de seguridad, tienen funciones similares para añadir una capa de seguridad adicional a los recursos de la VPC. Para obtener más información sobre la implementación del control de acceso mediante ACL de red, consulte [Controlar el tráfico hacia las subredes utilizando las ACL de red](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) en la *Guía del usuario de Amazon VPC*.
# Validación de la conformidad de Amazon FSx para Lustre
Para saber si un Servicio de AWS está incluido en el ámbito de programas de conformidad específicos, consulte [Servicios de AWS incluidos por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/) y escoja el programa de conformidad que le interese. Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
Puedes descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Su responsabilidad de conformidad al utilizar Servicios de AWS se determina en función de la confidencialidad de los datos, los objetivos de conformidad de su empresa, así como de la legislación y los reglamentos aplicables. Para obtener más información sobre la responsabilidad de conformidad al usar Servicios de AWS, consulte la [Documentación de seguridad de AWS](https://docs.aws.amazon.com/security/).
# Amazon FSx para Lustre y Puntos de conexión de VPC de interfaz (AWS PrivateLink)
Puede mejorar la postura de seguridad de su VPC configurando Amazon FSx para que utilice un punto de conexión de VPC de interfaz. Los puntos de conexión de VPC de interfaz cuentan con [AWS PrivateLink](https://aws.amazon.com/privatelink), una tecnología que permite acceder de forma privada a las API de Amazon FSx sin necesidad de contar con una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión de Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con las API de Amazon FSx. El tráfico entre la VPC y Amazon FSx no sale de la red de AWS.
Cada punto de conexión de VPC de la interfaz está representado por una o más interfaces de red elásticas en las subredes. Una interfaz de red proporciona una dirección IP privada que sirve como punto de entrada del tráfico dirigido a la API de Amazon FSx.
## Consideraciones sobre los puntos de conexión de VPC de interfaz para Amazon FSx
Antes de configurar un punto de conexión de VPC de interfaz para Amazon FSx, revise el tema [Propiedades y limitaciones de los puntos de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) en la *Guía del usuario de Amazon VPC*.
Puede llamar a cualquiera de las operaciones de API de Amazon FSx desde su VPC. Por ejemplo, puede crear un sistema de archivos de FSx para Lustre llamando a la API CreateFileSystem desde su VPC. Para ver la lista completa de las API de Amazon FSx, consulte [Actions (Acciones)](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) en la Referencia de las API de Amazon FSx.
### Consideraciones sobre el emparejamiento de VPC
Puede conectar una VPC a otra con puntos de conexión de VPC de interfaz usando el emparejamiento de VPC. El emparejamiento de VPC es una conexión de red entre dos VPC. Puede establecer una conexión de emparejamiento de VPC entre dos VPC propias o con una VPC en otra Cuenta de AWS. Las VPC también pueden estar en dos Regiones de AWS diferentes.
El tráfico entre las VPC emparejadas permanece en la red de AWS y no pasa por la red pública de Internet. Una vez que las VPC están emparejadas, algunos recursos como las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en ambas VPC pueden obtener acceso a la API de Amazon FSx a través de puntos de conexión de VPC de interfaz creados en una de las VPC.
## Creación de un punto de conexión de VPC de interfaz para la API de Amazon FSx
Puede crear un punto de conexión de VPC para la API de Amazon FSx mediante la consola de Amazon VPC o desde AWS Command Line Interface (AWS CLI). Para obtener más información, consulte [ Creación de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la *Guía del usuario de Amazon VPC*.
Para obtener una lista completa de los puntos de conexión de Amazon FSx, consulte [Puntos de conexión y cuotas de Amazon FSx](https://docs.aws.amazon.com/general/latest/gr/fsxn.html) en la *Referencia general de Amazon Web Services*.
Para crear un punto de conexión de VPC de interfaz para Amazon FSx, utilice una de las siguientes opciones:
+ `com.amazonaws.region.fsx`: crea un punto de conexión para las operaciones de la API de Amazon FSx.
+ **`com.amazonaws.region.fsx-fips`**: crea un punto de conexión para la API de Amazon FSx que cumple con el [Estándar federal de procesamiento de información (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Para utilizar la opción de DNS privado, debe configurar los atributos `enableDnsHostnames` y `enableDnsSupport` de su VPC. Para obtener más información, consulte [Visualización y actualización de la compatibilidad de DNS para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) en la *Guía del usuario de Amazon VPC*.
Excepto en Regiones de AWS en China, si habilita un DNS privado para el punto de conexión, podrá realizar solicitudes de la API a Amazon FSx con el punto de conexión de VPC mediante el nombre de DNS predeterminado para la Región de AWS, por ejemplo `fsx.us-east-1.amazonaws.com`. En las Regiones de AWS de China (Pekín) y China (Ningxia), puede realizar solicitudes de la API con el punto de conexión de VPC mediante `fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn` y `fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn`, respectivamente.
Para obtener más información, consulte [ Acceso a un servicio a través de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) en la *Guía del usuario de Amazon VPC*.
## Creación de una política de punto de conexión de VPC para Amazon FSx
Para controlar aún más el acceso a la API de Amazon FSx, puede adjuntar opcionalmente una política de AWS Identity and Access Management (IAM) a su punto de conexión de VPC. La política especifica lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para obtener más información, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.