Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Amazon FSx para NetApp ONTAP
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre AWS usted y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de conformidad que se aplican a Amazon FSx para NetApp ONTAP, consulte [AWS Servicios incluidos en el ámbito del programa de conformidad AWS Servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación te ayuda a entender cómo aplicar el modelo de responsabilidad compartida cuando utilizas Amazon FSx. En los temas siguientes, se muestra cómo configurar Amazon FSx para que cumpla con sus objetivos de seguridad y conformidad. También aprenderás a utilizar otros AWS servicios que te ayudan a supervisar y proteger tus FSx recursos de Amazon.
**Topics**
+ [Protección de datos en Amazon FSx para NetApp ONTAP](data-protection.md)
+ [Gestión de identidad y acceso para Amazon FSx for NetApp ONTAP](security-iam.md)
+ [AWS políticas gestionadas para Amazon FSx for NetApp ONTAP](security-iam-awsmanpol.md)
+ [Control de acceso al sistema de archivos con Amazon VPC](limit-access-security-groups.md)
+ [Validación de conformidad de Amazon FSx para NetApp ONTAP](fsx-ontap-compliance.md)
+ [Amazon FSx para NetApp ONTAP y puntos finales de VPC de interfaz ()AWS PrivateLink](fsx-vpc-endpoints.md)
+ [Resiliencia en Amazon FSx para NetApp ONTAP](disaster-recovery-resiliency.md)
+ [Seguridad de infraestructuras en Amazon FSx para NetApp ONTAP](infrastructure-security.md)
+ [Utilice NetApp ONTAP Vscan con FSx ONTAP](using-vscan.md)
+ [Usuarios y roles de ONTAP](roles-and-users.md)
# Protección de datos en Amazon FSx para NetApp ONTAP
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en Amazon FSx for NetApp ONTAP. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabajas con Amazon FSx u otra Servicios de AWS empresa mediante la consola, la API o AWS SDKs. AWS CLI Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
## El cifrado de datos es FSx para ONTAP
Amazon FSx for NetApp ONTAP admite el cifrado de datos en reposo y el cifrado de datos en tránsito. El cifrado de los datos en reposo se activa automáticamente al crear un sistema de FSx archivos de Amazon. Amazon FSx for NetApp ONTAP admite el cifrado basado en Kerberos en tránsito a través de los protocolos NFS y SMB si accede a los datos de una máquina virtual de almacenamiento (SVM) que está unida a un Active Directory o a un dominio mediante el Protocolo ligero de acceso a directorios (LDAP).
### Cuando utilizar el cifrado
Si su organización está sujeta a políticas corporativas o reglamentarias que exigen el cifrado de los datos y metadatos en reposo, sus datos se cifran automáticamente en reposo. También le recomendamos que habilite el cifrado de los datos en tránsito montando su sistema de archivos mediante el cifrado de los datos en tránsito.
Para obtener más información sobre el cifrado de datos con Amazon FSx para NetApp ONTAP, consulte [Cifrado de datos en reposo](encryption-at-rest.md) y[Cifrado de datos en tránsito](encryption-in-transit.md).
# Cifrado de datos en reposo
Todos los sistemas de archivos y copias de seguridad de Amazon FSx for NetApp ONTAP están cifrados en reposo con claves gestionadas mediante AWS Key Management Service (AWS KMS). Los datos se cifran de manera automática antes de escribirse en el sistema de archivos y se descifran de la misma manera a medida que se leen. Todas las copias de seguridad se cifran automáticamente al crearlas y se descifran automáticamente cuando se restaura la copia de seguridad en un volumen nuevo. Amazon gestiona estos procesos de forma transparente FSx, por lo que no tienes que modificar tus aplicaciones.
Amazon FSx utiliza un algoritmo de cifrado AES-256 estándar del sector para cifrar los FSx datos y metadatos de Amazon en reposo. Para obtener más información, consulte los [Conceptos básicos de la criptografía](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) en la *Guía del desarrollador de AWS Key Management Service *.
**nota**
La infraestructura de administración de AWS claves utiliza algoritmos criptográficos aprobados por la norma federal de procesamiento de información (FIPS) 140-2. La infraestructura se adhiere a las recomendaciones del Instituto Nacional de Normas y Tecnología (NIST) 800-57.
## Cómo FSx usa Amazon AWS KMS
Amazon FSx se integra AWS KMS para la gestión de claves. Amazon FSx utiliza claves de KMS para cifrar el sistema de archivos y cualquier copia de seguridad de volumen. Usted elige la clave de KMS que se utiliza para cifrar y descifrar los sistemas de archivos y copias de seguridad del volumen (tanto de datos como de metadatos). Puede habilitar, deshabilitar o revocar concesiones en esta clave de KMS. Esta clave de KMS puede ser de uno de los dos siguientes tipos:
+ **clave de KMS gestionada por AWS**: Esta es la clave de KMS por defecto y su uso es gratuito.
+ **clave de KMS gestionada por el cliente**: se trata de la clave de KMS más flexible, ya que puede configurar las políticas de claves y concesiones para varios usuarios o servicios. Para obtener más información sobre la creación de claves de KMS, consulte [Creación de claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía para AWS Key Management Service desarrolladores*.
**importante**
Amazon solo FSx acepta claves KMS de cifrado simétrico. No puedes usar claves KMS asimétricas con Amazon FSx.
Si utiliza una clave de KMS gestionada por el cliente como clave de KMS para el cifrado y descifrado de datos de archivo, puede activar la rotación de claves. Cuando se activa la rotación de claves, AWS KMS rota automáticamente su clave una vez al año. Además, una clave administrada por el cliente le permite elegir el momento en que desea deshabilitar, volver a habilitar, eliminar o revocar el acceso a su clave de KMS. Para más información, consulte la sección sobre [Rotar AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html) y [ Habilitar y deshabilitar claves](https://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html) en la * Guía del desarrollador de AWS Key Management Service *.
## Políticas FSx clave de Amazon para AWS KMS
Las políticas de claves son la forma principal de controlar el acceso a las claves KMS. Para obtener más información sobre las políticas de claves, consulte [Uso de las políticas de claves en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) en la * Guía para desarrolladores de AWS Key Management Service . *En la siguiente lista se describen todos los permisos AWS KMS relacionados que Amazon admite FSx para copias de seguridad y sistemas de archivos cifrados en reposo:
+ **kms:Encrypt** - (opcional): cifra texto plano en texto cifrado. Este permiso está incluido en la política de claves predeterminada.
+ **kms: Decrypt** - (obligatorio): descifra texto cifrado. El texto cifrado es texto plano que se ha cifrado previamente. Este permiso está incluido en la política de claves predeterminada.
+ **kms: ReEncrypt** — (opcional) Cifra los datos del lado del servidor con uno nuevo AWS KMS key, sin exponer el texto sin formato de los datos del lado del cliente. Los datos se descifran en primer lugar y luego se vuelven a cifrar. Este permiso está incluido en la política de claves predeterminada.
+ **kms: GenerateDataKeyWithoutPlaintext** — (Obligatorio) Devuelve una clave de cifrado de datos cifrada con una clave KMS. Este permiso está incluido en la política de claves predeterminada en **kms: GenerateDataKey \$1**.
+ **kms: CreateGrant** — (Obligatorio) Añade una concesión a una clave para especificar quién puede utilizarla y en qué condiciones. Las concesiones son mecanismos de permiso alternativo para las políticas de claves. Para obtener más información sobre las concesiones, consulte [Uso de concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en la *Guía para desarrolladores de AWS Key Management Service *. Este permiso está incluido en la política de claves predeterminada.
+ **kms: DescribeKey** — (Obligatorio) Proporciona información detallada sobre la clave KMS especificada. Este permiso está incluido en la política de claves predeterminada.
+ **kms: ListAliases** — (opcional) Muestra todos los alias clave de la cuenta. Si utiliza la consola para crear un sistema de archivos cifrados, este permiso rellena la lista de claves KMS. Le recomendamos que utilice este permiso para proporcionar la mejor experiencia de usuario. Este permiso está incluido en la política de claves predeterminada.
# Cifrado de datos en tránsito
En este tema se explican las diferentes opciones disponibles para cifrar los datos de los archivos mientras están en tránsito entre un FSx sistema de archivos de ONTAP y los clientes conectados. También se proporciona orientación para ayudarlo a elegir el método de cifrado que mejor se adapte al flujo de trabajo.
Todos los datos que circulan Regiones de AWS por la red AWS global se cifran automáticamente en la capa física antes de salir de las AWS instalaciones seguras. Se cifra todo el tráfico entre las zonas de disponibilidad. Las capas adicionales de cifrado, incluidas las que aparecen en esta sección, pueden proporcionar una protección adicional. Para obtener más información sobre cómo se AWS protege el flujo de datos entre Regiones de AWS las zonas disponibles y las instancias, consulte [Encryption in transit en](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) la Guía del usuario de Amazon Elastic Compute Cloud para instancias de Linux.
Amazon FSx for NetApp ONTAP admite los siguientes métodos para cifrar los datos en tránsito entre los sistemas de archivos FSx de ONTAP y los clientes conectados:
+ Cifrado automático basado en Nitro en todos los protocolos y clientes compatibles que se ejecutan en los tipos de instancias de Amazon EC2 de [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) y [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) compatibles.
+ Cifrado basado en Kerberos mediante protocolos NFS y SMB.
+ IPseccifrado basado en protocolos NFS, iSCSI y SMB
Todos los métodos compatibles para cifrar los datos en tránsito utilizan algoritmos criptográficos AES-256 estándar del sector que proporcionan un cifrado de nivel empresarial.
**Topics**
+ [Elección de un método para cifrar datos en tránsito](#choosing-encryption-in-transit)
+ [Cifrar los datos en tránsito con AWS Nitro System](#nitro-encryption)
+ [Cifrado de los datos en tránsito con un cifrado basado en Kerberos](#kerberos-encryption)
+ [Cifrar los datos en tránsito con cifrado IPsec](#ipsec-encryption)
+ [Habilitar el cifrado SMB de datos en tránsito](enable-smb-encryption.md)
+ [Configuración mediante autenticación PSK IPsec](config-ipsec-psk-auth.md)
+ [Configuración IPsec mediante autenticación mediante certificado](config-ipsec-ca-auth.md)
## Elección de un método para cifrar datos en tránsito
En esta sección se proporciona información que puede ayudarle a decidir cuál de los métodos de cifrado en tránsito admitidos es el mejor para su flujo de trabajo. Vuelva a consultar esta sección para explorar las opciones compatibles que se describen en detalle en las secciones siguientes.
Hay varios factores que se deben tener en cuenta a la hora de elegir cómo se van a cifrar los datos en tránsito entre el sistema de archivos de ONTAP y FSx los clientes conectados. Estos factores incluyen:
+ El sistema de archivos en el Región de AWS que se FSx ejecuta tu sistema de archivos para ONTAP.
+ Tipo de instancia en la que se ejecuta el cliente.
+ La ubicación del cliente que accede al sistema de archivos.
+ Requisitos de rendimiento de red.
+ El protocolo de datos que desea cifrar.
+ Si usa Microsoft Active Directory.
**Región de AWS**
El sistema de archivos en el Región de AWS que se ejecuta determina si puede utilizar o no el cifrado basado en Amazon Nitro. Para obtener más información, consulte [Cifrar los datos en tránsito con AWS Nitro System](#nitro-encryption).
**Tipo de instancia del cliente**
Puede utilizar el cifrado basado en Amazon Nitro si el cliente que accede a su sistema de archivos se ejecuta en alguno de los tipos de instancias de Amazon EC2 para Mac, [Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) o [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) compatibles y su flujo de trabajo cumple todos los demás requisitos para utilizar el [cifrado basado en Nitro](#nitro-encryption). No hay ningún requisito de tipo de instancia de cliente para usar Kerberos o IPsec el cifrado.
**Ubicación del cliente**
La ubicación del cliente que accede a los datos con respecto a la ubicación del sistema de archivos influye en los métodos de cifrado en tránsito disponibles para su uso. Puede usar cualquiera de los métodos de cifrado compatibles si el cliente y el sistema de archivos están ubicados en la misma VPC. Lo mismo ocurre si el cliente y el sistema de archivos están ubicados en dispositivos interconectados VPCs, siempre que el tráfico no pase a través de un dispositivo o servicio de red virtual, como una puerta de enlace de tránsito. El cifrado basado en Nitro no está disponible si el cliente no está en la misma VPC o en una VPC emparejada, o si el tráfico pasa a través de un dispositivo o servicio de red virtual.
**Rendimiento de la red**
El uso del cifrado basado en Amazon Nitro no tiene impacto en el rendimiento de la red. Esto se debe a que las instancias de Amazon EC2 compatibles utilizan las capacidades de descarga del hardware de Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias.
El uso de Kerberos o el IPsec cifrado tiene un impacto en el rendimiento de la red. Esto se debe a que ambos métodos de cifrado están basados en software, lo que requiere que el cliente y el servidor utilicen recursos de computación para cifrar y descifrar el tráfico en tránsito.
**Protocolo de datos**
Puede utilizar el cifrado basado en Amazon Nitro y el IPsec cifrado con todos los protocolos compatibles: NFS, SMB e iSCSI. Puede utilizar el cifrado de Kerberos con los protocolos NFS y SMB (con un Active Directory).
**Active Directory**
Si utiliza Microsoft Active Directory, puede utilizar el [cifrado de Kerberos](#kerberos-encryption) a través de los protocolos NFS y SMB.
Utilice el siguiente diagrama como ayuda para decidir qué método de cifrado en tránsito debe utilizar.
![\[Diagrama de flujo que muestra qué método de cifrado en tránsito utilizar en función de cinco puntos de decisión.\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/images/fsx-ontap-encrypt-n-transit-decision-flow.png)
IPsec el cifrado es la única opción disponible cuando se cumplen todas las condiciones siguientes a su flujo de trabajo:
+ Está utilizando el protocolo NFS, SMB o iSCSI.
+ Su flujo de trabajo no admite el uso del cifrado basado en Amazon Nitro.
+ No está utilizando un dominio de Microsoft Active Directory.
## Cifrar los datos en tránsito con AWS Nitro System
Con el cifrado basado en Nitro, los datos en tránsito se cifran automáticamente cuando los clientes que acceden a sus sistemas de archivos utilizan tipos Regiones de AWS de instancias Amazon [EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit), Linux [o](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit) Windows compatibles, siempre que estén disponibles para FSx ONTAP.
El uso del cifrado basado en Amazon Nitro no tiene impacto en el rendimiento de la red. Esto se debe a que las instancias de Amazon EC2 compatibles utilizan las capacidades de descarga del hardware de Nitro System subyacente para cifrar de manera automática el tráfico en tránsito entre instancias.
El cifrado basado en Nitro se habilita automáticamente cuando los tipos de instancias de cliente compatibles se encuentran en la misma Región de AWS y en la misma VPC o en una VPC emparejada con la VPC del sistema de archivos. Además, si el cliente se encuentra en una VPC emparejada, los datos no pueden atravesar un dispositivo o servicio de red virtual (como una puerta de enlace de tránsito) para que el cifrado basado en Nitro se habilite automáticamente. Para obtener más información sobre el cifrado basado en Nitro, consulte la sección Cifrado en tránsito de la Guía del usuario de Amazon EC2 para tipos de instancia de Linux[https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) o [Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html#encryption-transit).
En la siguiente tabla se detalla en qué se encuentra disponible el Regiones de AWS cifrado basado en Nitro.
**Compatibilidad con el cifrado basado en Nitro**
| Generación | Tipos de implementación | Región de AWS |
| --- | --- | --- |
| Sistemas de archivos de primera generación1 | Single-AZ 1 Multi-AZ 1 | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón), Europa (Irlanda) |
| Sistema de archivos de segunda generación | Single-AZ 2 Multi-AZ 2 | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Norte de California), Oeste de EE. UU. (Oregón), Europa (Fráncfort), Europa (Irlanda), Asia-Pacífico (Sídney) |
1 Los sistemas de archivos de primera generación creados el 28 de noviembre de 2022 o después admiten el cifrado en tránsito basado en Nitro que se indica en las Regiones de AWS enumeradas.
Para obtener más información sobre Regiones de AWS dónde FSx está disponible ONTAP, consulta los precios de [Amazon FSx for NetApp ONTAP](https://aws.amazon.com/fsx/netapp-ontap/pricing/).
Para obtener más información sobre las especificaciones de rendimiento de los sistemas de FSx archivos ONTAP, consulte. [Impacto de la capacidad de rendimiento en el rendimiento](performance.md#impact-throughput-cap-performance)
## Cifrado de los datos en tránsito con un cifrado basado en Kerberos
Si utiliza Microsoft Active Directory, puede utilizar el cifrado basado en Kerberos a través de los protocolos NFS y SMB para cifrar los datos en tránsito de los volúmenes secundarios que [SVMs estén unidos](ad-integration-ontap.md) a un Microsoft Active Directory.
### Cifrar los datos en tránsito a través de NFS mediante Kerberos
Se admite el cifrado de los datos en tránsito mediante Kerberos y sus protocolos. NFSv3 NFSv4 Para habilitar el cifrado en tránsito mediante Kerberos para el protocolo NFS, consulte [Uso de Kerberos con NFS para una mayor seguridad](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Using_Kerberos_with_NFS_for_strong_security.pdf) en el Centro de documentación de NetApp ONTAP.
### Cifrar los datos en tránsito a través de SMB mediante Kerberos
El cifrado de los datos en tránsito a través del protocolo SMB se admite en los archivos compartidos que están mapeados en una instancia de procesamiento que admite el protocolo SMB 3.0 o posterior. Esto incluye todas las versiones de Microsoft Windows desde Microsoft Windows Server 2012 y versiones posteriores, así como y Microsoft Windows 8 y versiones posteriores. Cuando está activado, FSx ONTAP cifra automáticamente los datos en tránsito mediante el cifrado SMB al acceder al sistema de archivos sin necesidad de modificar las aplicaciones.
FSx para ONTAP, SMB admite el cifrado de 128 y 256 bits, que viene determinado por la solicitud de sesión del cliente. Para obtener descripciones de los diferentes niveles de cifrado, consulte la sección *Establecer el nivel de seguridad de autenticación mínimo del servidor SMB* de [Gestionar SMB con la CLI](https://docs.netapp.com/us-en/ontap/pdfs/sidebar/Manage_SMB_with_the_CLI.pdf) en el Centro de documentación de NetApp ONTAP.
**nota**
El cliente determina el algoritmo de cifrado. Tanto la autenticación de NTLM como la de Kerberos funcionan con el cifrado de 128 y 256 bits. El servidor SMB FSx para ONTAP acepta todas las solicitudes estándar de los clientes de Windows y los controles detallados los gestiona la política de grupo o la configuración del registro de Microsoft.
La ONTAP CLI se utiliza para gestionar la configuración de cifrado en tránsito de ONTAP SVMs y los volúmenes. FSx Para acceder a la CLI de NetApp ONTAP, establezca una sesión SSH en la SVM en la que está realizando la configuración de cifrado en tránsito, como se describe en [Administración de SVM con la CL de ONTAP](managing-resources-ontap-apps.md#vsadmin-ontap-cli).
Para obtener instrucciones acerca de cómo habilitar el cifrado de SMB en una SVM o un volumen, consulte [Habilitar el cifrado SMB de datos en tránsito](enable-smb-encryption.md).
## Cifrar los datos en tránsito con cifrado IPsec
FSx para ONTAP, es compatible con el uso del IPsec protocolo en modo transporte para garantizar que los datos estén protegidos y cifrados de forma continua mientras están en tránsito. IPsec ofrece el end-to-end cifrado de los datos en tránsito entre los clientes y FSx para los sistemas de archivos ONTAP para todo el tráfico IP compatible: protocolos NFS, iSCSI y SMB. Con el IPsec cifrado, se establece un IPsec túnel entre un FSx SVM de ONTAP configurado con IPsec activado y un cliente que se ejecuta en el IPsec cliente conectado y accede a los datos.
Le recomendamos que lo utilice IPsec para cifrar los datos en tránsito a través de los protocolos NFS, SMB e iSCSI cuando acceda a sus datos desde clientes que no admiten el [cifrado basado en Nitro](#nitro-encryption), y si su cliente y yo no SVMs estamos unidos a un Active Directory, que es necesario para el cifrado basado en Kerberos. IPsec el cifrado es la única opción disponible para cifrar los datos en tránsito para el tráfico iSCSI cuando el cliente iSCSI no admite el cifrado basado en Nitro.
Para la IPsec autenticación, puede usar claves previamente compartidas () o certificados. PSKs Si utiliza un PSK, el IPsec cliente que utilice debe ser compatible con la versión 2 (IKEv2) de Internet Key Exchange con un PSK. Los pasos básicos para configurar el IPsec cifrado tanto FSx en ONTAP como en el cliente son los siguientes:
1. Actívelo y IPsec configúrelo en su sistema de archivos.
1. Instálelo y IPsec configúrelo en su cliente
1. Configure IPsec para el acceso de varios clientes
Para obtener más información sobre cómo configurar IPsec mediante PSK, consulte [Configurar la seguridad IP (IPsec) mediante cifrado por cable](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) en el centro de NetApp ONTAP documentación.
Para obtener más información sobre cómo configurar el IPsec uso de certificados, consulte[Configuración IPsec mediante autenticación mediante certificado](config-ipsec-ca-auth.md).
# Habilitar el cifrado SMB de datos en tránsito
De forma predeterminada, al crear un SVM, el cifrado SMB está desactivado. Puede habilitar el cifrado SMB, que se requiere en los recursos compartidos individuales, o bien en una SVM, que lo activa para todos los recursos compartidos de la SVM.
**nota**
Cuando el cifrado SMB obligatorio está habilitado en una SVM o recurso compartido, los clientes SMB que no admiten el cifrado no pueden conectarse a esa SVM o recurso compartido.
**Cómo requerir el cifrado SMB para el tráfico SMB entrante en una SVM**
Utilice el siguiente procedimiento para requerir el cifrado SMB en una SVM mediante la CLI de NetApp ONTAP.
1. Para conectarse al punto de conexión de gestión de la SVM con SSH, utilice el nombre de usuario `vsadmin` y la contraseña de vsadmin que estableció al crear la SVM. Si no estableció una contraseña de vsadmin, utilice el nombre de usuario `fsxadmin` y la contraseña fsxadmin. Puede acceder mediante SSH a la SVM desde un cliente que esté en la misma VPC que el sistema de archivos, mediante la dirección IP del punto de conexión de gestión o el nombre DNS.
```
ssh vsadmin@svm-management-endpoint-ip-address
```
El comando con valores de muestra:
```
ssh vsadmin@198.51.100.10
```
El comando SSH utilizando el nombre DNS del punto de conexión de gestión:
```
ssh vsadmin@svm-management-endpoint-dns-name
```
El comando SSH con un nombre DNS de ejemplo:
```
ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
```
```
Password: vsadmin-password
This is your first recorded login.
FsxIdabcdef01234567892::>
```
1. Use el comando de la CLI de NetApp ONTAP [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-modify.html) para requerir el cifrado SMB para el tráfico SMB entrante a la SVM.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true
```
1. Para dejar de requerir el cifrado SMB para el tráfico SMB entrante, utilice el siguiente comando.
```
vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false
```
1. Para ver la configuración actual de `is-smb-encryption-required` en una SVM, use el comando de la CLI de NetApp ONTAP [https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html](https://docs.netapp.com/us-en/ontap-cli-9131/vserver-cifs-security-show.html):
```
vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver is-smb-encryption-required
-------- -------------------------
vs1 true
```
Para obtener más información sobre la gestión del cifrado SMB en una SVM, consulte [Configurar el cifrado SMB necesario en los servidores SMB para las transferencias de datos a través de SMB](https://docs.netapp.com/us-en/ontap/smb-admin/configure-required-encryption-concept.html) en el Centro de documentación de NetApp ONTAP.
**Cómo habilitar el cifrado SMB en un volumen**
Utilice el siguiente procedimiento para requerir el cifrado SMB en una SVM mediante la CLI de NetApp ONTAP.
1. Establezca una conexión Secure Shell (SSH) al punto de conexión de gestión de la SVM, tal y como se describe en [Administración de SVM con la CL de ONTAP](managing-resources-ontap-apps.md#vsadmin-ontap-cli).
1. Utilice el siguiente comando CLI NetApp ONTAP para crear un nuevo recurso compartido SMB y requerir el cifrado SMB al acceder a este recurso compartido.
```
vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data
```
Para obtener más información, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__create.html) en las páginas del comando CLI de NetApp ONTAP.
1. Para requerir el cifrado SMB en un recurso compartido de SMB existente, utilice el siguiente comando.
```
vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Para obtener más información, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__add.html) en las páginas del comando CLI de NetApp ONTAP.
1. Para desactivar el cifrado SMB en un recurso compartido SMB existente, utilice el siguiente comando.
```
vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data
```
Para obtener más información, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__remove.html) en las páginas del comando CLI de NetApp ONTAP.
1. Para ver la configuración actual de `is-smb-encryption-required` de un recurso compartido SMB, utilice el siguiente comando CLI de NetApp ONTAP:
```
vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties
```
Si una de las propiedades devueltas por el comando es la propiedad `encrypt-data`, dicha propiedad especifica que se debe utilizar el cifrado SMB al acceder a este recurso compartido.
Para obtener más información, consulte [https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__cifs__share__properties__show.html) en las páginas del comando CLI de NetApp ONTAP.
# Configuración mediante autenticación PSK IPsec
Si utiliza PSK para la autenticación, los pasos para configurar el IPsec cifrado tanto FSx en ONTAP como en el cliente son los siguientes:
1. Actívelo y configúrelo IPsec en su sistema de archivos.
1. Instálelo y IPsec configúrelo en su cliente
1. Configure IPsec para el acceso de varios clientes
Para obtener más información sobre la configuración IPsec mediante PSK, consulte [Configurar la seguridad IP (IPsec) mediante cifrado por cable](https://docs.netapp.com/us-en/ontap/networking/configure_ip_security_@ipsec@_over_wire_encryption.html) en el centro de NetApp ONTAP documentación.
# Configuración IPsec mediante autenticación mediante certificado
En los temas siguientes se proporcionan instrucciones para configurar el IPsec cifrado mediante la autenticación mediante certificados en un sistema de archivos FSx compatible con ONTAP y en un cliente que ejecute IPsec Libreswan. Esta solución utiliza AWS Certificate Manager y AWS Private Certificate Authority crea una entidad de certificación privada y genera los certificados.
Los pasos generales para configurar el IPsec cifrado mediante la autenticación mediante certificados FSx para los sistemas de archivos de ONTAP y los clientes conectados son los siguientes:
1. Disponga de una autoridad de certificación para emitir certificados.
1. Genere y exporte certificados de CA para el sistema de archivos y el cliente.
1. Instale el certificado y configúrelo IPsec en la instancia del cliente.
1. Instale el certificado y IPsec configúrelo en su sistema de archivos.
1. Defina la base de datos de políticas de seguridad (SPD).
1. Configure IPsec para el acceso de varios clientes.
## Creación e instalación del certificado para una CA
Para la autenticación de certificados, debe generar e instalar los certificados de una autoridad de certificación en el sistema de archivos de ONTAP y de los clientes que accederán a los datos de su sistema de archivos. FSx En el siguiente ejemplo, AWS Private Certificate Authority se configura una entidad de certificación privada y se generan los certificados que se van a instalar en el sistema de archivos y en el cliente. Con AWS Private Certificate Authorityél, puede crear una jerarquía completamente AWS alojada de autoridades de certificación raíz y subordinadas (CAs) para uso interno de su organización. Este proceso consta de cinco pasos:
1. Cree una autoridad de certificación (CA) privada mediante AWS Private CA
1. Emita e instale el certificado raíz en la CA privada
1. Solicite un certificado privado AWS Certificate Manager para su sistema de archivos y sus clientes
1. Exporte el certificado para el sistema de archivos y los clientes.
Para obtener más información, consulte [Administración de una CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) en la Guía del AWS Private Certificate Authority usuario.
**Cómo crear la CA privada raíz**
1. Al crear una CA, debe especificar la configuración de la CA en un archivo que suministre. El siguiente comando utiliza el editor de texto Nano para crear el archivo `ca_config.txt`, que especifica la siguiente información:
+ El nombre del algoritmo
+ El tipo de algoritmo de firma que la CA utiliza para firmar
+ La información del sujeto de X.500
```
$ > nano ca_config.txt
```
Aparece el editor de texto.
1. Edite el archivo con las especificaciones de su CA.
```
{
"KeyAlgorithm":"RSA_2048",
"SigningAlgorithm":"SHA256WITHRSA",
"Subject":{
"Country":"US",
"Organization":"Example Corp",
"OrganizationalUnit":"Sales",
"State":"WA",
"Locality":"Seattle",
"CommonName":"*.ec2.internal"
}
}
```
1. Guarde el archivo y salga del editor de texto. Para obtener más información, consulte [el Procedimiento para crear una CA](https://docs.aws.amazon.com/privateca/latest/userguide/Create-CA-CLI.html) en la Guía del AWS Private Certificate Authority usuario.
1. Utilice el comando [create-certificate-authority](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-certificate-authority.html) AWS Private CA CLI para crear una CA privada.
```
~/home > aws acm-pca create-certificate-authority \
--certificate-authority-configuration file://ca_config.txt \
--certificate-authority-type "ROOT" \
--idempotency-token 01234567 --region aws-region
```
Si se ejecuta correctamente, este comando devuelve el nombre de recurso de Amazon (ARN) de la CA.
```
{
"CertificateAuthorityArn": "arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012"
}
```
**Cómo crear e instalar un certificado para su CA raíz privada (AWS CLI)**
1. Genere una solicitud de firma de certificado (CSR) mediante el comando [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate-authority-csr.html) AWS CLI.
```
$ aws acm-pca get-certificate-authority-csr \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--output text \
--endpoint https://acm-pca.aws-region.amazonaws.com \
--region eu-west-1 > ca.csr
```
El archivo resultante `ca.csr`, un archivo PEM codificado en formato base64, tiene el siguiente aspecto.
```
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
```
Para obtener más información, consulte [Instalación de un certificado de CA raíz](https://docs.aws.amazon.com/privateca/latest/userguide/PCACertInstall.html#InstallRoot) en la Guía del AWS Private Certificate Authority usuario.
1. Utilice el [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) AWS CLI comando para emitir e instalar el certificado raíz en su CA privada.
```
$ aws acm-pca issue-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--csr file://ca.csr \
--signing-algorithm SHA256WITHRSA \
--template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \
--validity Value=3650,Type=DAYS --region aws-region
```
1. Descargue el certificado raíz mediante el [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-certificate.html) AWS CLI comando.
```
$ aws acm-pca get-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate-arn arn:aws:acm-pca:aws-region:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \
--output text --region aws-region > rootCA.pem
```
1. Instale el certificado raíz en su CA privada mediante el [https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/import-certificate-authority-certificate.html) AWS CLI comando.
```
$ aws acm-pca import-certificate-authority-certificate \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \
--certificate file://rootCA.pem --region aws-region
```
**Genere y exporte el sistema de archivos y el certificado de cliente**
1. Use el [https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) AWS CLI comando para solicitar un AWS Certificate Manager certificado para usarlo en su sistema de archivos y sus clientes.
```
$ aws acm request-certificate \
--domain-name *.ec2.internal \
--idempotency-token 12345 \
--region aws-region \
--certificate-authority-arn arn:aws:acm-pca:aws-region:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
```
Si la solicitud se realiza correctamente, se devuelve el ARN del certificado emitido.
1. Por motivos de seguridad, debe asignar una contraseña a la clave privada al exportarla. Cree una contraseña y guárdela en un archivo llamado `passphrase.txt`
1. Utilice el [https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html](https://docs.aws.amazon.com/cli/latest/reference/acm/export-certificate.html) AWS CLI comando para exportar el certificado privado emitido anteriormente. El archivo exportado contiene el certificado, la cadena de certificados y la clave RSA privada cifrada de 2048 bits asociada a la clave pública que está incrustada en el certificado. Por motivos de seguridad, debe asignar una contraseña a la clave privada al exportarla. A continuación se muestra un ejemplo para una instancia EC2 Linux.
```
$ aws acm export-certificate \
--certificate-arn arn:aws:acm:aws-region:111122223333:certificate/12345678-1234-1234-1234-123456789012 \
--passphrase $(cat passphrase.txt | base64) --region aws-region > exported_cert.json
```
1. Utilice los siguientes comandos `jq` para extraer la clave privada y el certificado de la respuesta en formato JSON.
```
$ passphrase=$(cat passphrase.txt | base64)
cat exported_cert.json | jq -r .PrivateKey > prv.key
cat exported_cert.json | jq -r .Certificate > cert.pem
```
1. Utilice los siguientes comandos `openssl` para descifrar la clave privada de la respuesta en formato JSON. Después de introducir el comando, se le solicitará la contraseña.
```
$ openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
```
## Instalación y configuración de Libreswan IPsec en un cliente de Amazon Linux 2
En las siguientes secciones se proporcionan instrucciones para instalar y configurar Libreswan IPsec en una instancia de Amazon EC2 que ejecute Amazon Linux 2.
**Cómo instalar y configurar Libreswan**
1. Conéctese a la instancia EC2 mediante SSH. Para obtener instrucciones específicas sobre cómo hacerlo, consulte [Conectarse a la instancia de Linux mediante un cliente SSH](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html#AccessingInstancesLinuxSSHClient) en la Guía del usuario de Amazon Elastic Compute Cloud para las instancias de Linux.
1. Ejecute el siguiente comando para instalar `libreswan`:
```
$ sudo yum install libreswan
```
1. (Opcional) Al realizar la verificación IPsec en un paso posterior, es posible que estas propiedades se marquen sin estos ajustes. Le sugerimos que primero pruebe la configuración sin estas configuraciones. Si tiene problemas de conexión, vuelva a este paso y realice los siguientes cambios.
Una vez completada la instalación, utilice el editor de texto que prefiera para añadir las siguientes entradas al archivo `/etc/sysctl.conf`.
```
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.lo.accept_redirects = 0
net.ipv4.conf.lo.send_redirects = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.rp_filter = 0
```
Guarde el archivo y salga del editor de texto.
1. Implemente los cambios:
```
$ sudo sysctl -p
```
1. Compruebe la configuración. IPsec
```
$ sudo ipsec verify
```
Compruebe que la versión de `Libreswan` que ha instalado se esté ejecutando.
1. Inicialice la base de datos IPsec NSS.
```
$ sudo ipsec checknss
```
**Cómo instalar los archivos de certificado en el cliente**
1. Copie el [certificado que generó](#generate-certificate) para el cliente en el directorio de trabajo de la instancia EC2. You
1. Exporte el certificado generado anteriormente a un formato compatible con`libreswan`.
```
$ openssl pkcs12 -export -in cert.pem -inkey decrypted.key \
-certfile rootCA.pem -out certkey.p12 -name fsx
```
1. Importe la clave reformateada y proporcione la contraseña cuando se le solicite.
```
$ sudo ipsec import certkey.p12
```
1. Cree un archivo IPsec de configuración con el editor de texto preferido.
```
$ sudo cat /etc/ipsec.d/nfs.conf
```
Agregue lo siguiente al archivo de configuración:
```
conn fsxn
authby=rsasig
left=172.31.77.6
right=198.19.254.13
auto=start
type=transport
ikev2=insist
keyexchange=ike
ike=aes256-sha2_384;dh20
esp=aes_gcm_c256
leftcert=fsx
leftrsasigkey=%cert
leftid=%fromcert
rightid=%fromcert
rightrsasigkey=%cert
```
Empezará IPsec en el cliente después de realizar la configuración IPsec en su sistema de archivos.
## Configuración IPsec en su sistema de archivos
En esta sección se proporcionan instrucciones sobre la instalación y configuración IPsec del certificado en el sistema de archivos de ONTAP. FSx
**Cómo instalar el certificado en su sistema de archivos**
1. Copie los archivos del certificado raíz (`rootCA.pem)`), el certificado de cliente (`cert.pem`) y la clave descifrada (`decrypted.key`) en su sistema de archivos. Necesitará saber la contraseña del certificado.
1. Para acceder a la ONTAP CLI, establezca una sesión SSH en el puerto de administración del sistema de archivos Amazon FSx for NetApp ONTAP o SVM ejecutando el siguiente comando. Reemplace `management_endpoint_ip` con la dirección IP del puerto de gestión del sistema de archivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obtener más información, consulte [Administración de sistemas de archivos con la CLI de ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilice **cat** en un cliente (no en su sistema de archivos) para mostrar el contenido de los archivos `rootCA.pem`, `cert.pem` y `decrypted.key` de forma que pueda copiar el resultado de cada archivo y pegarlo cuando se le solicite en los siguientes pasos.
```
$ > cat cert.pem
```
Copie el contenido del certificado.
1. Debe instalar todos los certificados de CA utilizados durante la autenticación mutua, incluidos los del lado de ONTAP y del lado del cliente, en la gestión de ONTAP certificados CAs, a menos que ya estén instalados (como es el caso de una CA raíz autofirmada de ONTAP).
Use el comando `security certificate install` NetApp CLI de la siguiente manera para instalar el certificado de cliente:
```
FSxID123:: > security certificate install -vserver dr -type client -cert-name ipsec-client-cert
```
```
Please enter Certificate: Press when done
```
Pegue el contenido del archivo `cert.pem` que copió anteriormente y pulse Entrar.
```
Please enter Private Key: Press when done
```
Pegue el contenido del archivo `decrypted.key` y pulse Entrar.
```
Do you want to continue entering root and/or intermediate certificates {y|n}:
```
Introduzca `n` para completar la introducción del certificado de cliente.
1. Cree e instale un certificado para que lo utilice la SVM. La CA emisora de este certificado ya debe estar instalada ONTAP y agregada a IPsec.
Utilice el siguiente comando para instalar el certificado raíz.
```
FSxID123:: > security certificate install -vserver dr -type server-ca -cert-name ipsec-ca-cert
```
```
Please enter Certificate: Press when done
```
Pegue el contenido del archivo `rootCA.pem` y pulse Entrar.
1. Para asegurarse de que la CA instalada esté dentro de la ruta de búsqueda de la IPsec CA durante la autenticación, añada la administración de ONTAP certificados CAs al IPsec módulo mediante el comando «security ipsec ca-certificate add».
Introduzca el siguiente comando para instalar el certificado raíz.
```
FSxID123:: > security ipsec ca-certificate add -vserver dr -ca-certs ipsec-ca-cert
```
1. Introduzca el siguiente comando para crear la IPsec política requerida en la base de datos de políticas de seguridad (SPD).
```
security ipsec policy create -vserver dr -name policy-name -local-ip-subnets 198.19.254.13/32 -remote-ip-subnets 172.31.0.0/16 -auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"
```
1. Utilice el siguiente comando para mostrar la IPsec política que debe confirmar el sistema de archivos.
```
FSxID123:: > security ipsec policy show -vserver dr -instance
Vserver: dr
Policy Name: promise
Local IP Subnets: 198.19.254.13/32
Remote IP Subnets: 172.31.0.0/16
Local Ports: 0-0
Remote Ports: 0-0
Protocols: any
Action: ESP_TRA
Cipher Suite: SUITEB_GCM256
IKE Security Association Lifetime: 86400
IPsec Security Association Lifetime: 28800
IPsec Security Association Lifetime (bytes): 0
Is Policy Enabled: true
Local Identity: CN=*.ec2.internal
Remote Identity: CN=*.ec2.internal
Authentication Method: PKI
Certificate for Local Identity: ipsec-client-cert
```
## Comience IPsec en el cliente
Ahora IPsec que está configurado tanto en el sistema FSx de archivos de ONTAP como en el cliente, puede empezar IPsec en el cliente.
1. Conéctese al sistema cliente mediante SSH.
1. Empezar IPsec.
```
$ sudo ipsec start
```
1. Compruebe el estado de IPsec.
```
$ sudo ipsec status
```
1. Monte un volumen en el sistema de archivos.
```
$ sudo mount -t nfs 198.19.254.13:/benchmark /home/ec2-user/acm/dr
```
1. Compruebe la IPsec configuración mostrando la conexión cifrada en el sistema de archivos FSx de ONTAP.
```
FSxID123:: > security ipsec show-ikesa -node FsxId123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01
Policy Local Remote
Vserver Name Address Address Initator-SPI State
----------- ------ --------------- --------------- ---------------- -----------
dr policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED
fsx policy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED
2 entries were displayed.
```
## Configuración IPsec para varios clientes
Cuando un número reducido de clientes necesita aprovechar el potencial IPsec, basta con utilizar una única entrada de SPD para cada cliente. Sin embargo, cuando cientos o incluso miles de clientes necesiten aprovecharlo IPsec, le recomendamos que utilice una configuración de IPsec varios clientes.
FSx ya que ONTAP admite la conexión de varios clientes de muchas redes a una única dirección IP de SVM si está habilitada IPsec . Para ello, puede utilizar la configuración `subnet` o la configuración `Allow all clients`, que se explican en los siguientes procedimientos:
**Para configurarlo IPsec para varios clientes mediante una configuración de subred**
Para permitir que todos los clientes de una subred concreta (192.168.134.0/24, por ejemplo) se conecten a una única dirección IP de SVM mediante una única entrada de política de SPD, debe especificar el `remote-ip-subnets` en forma de subred. Además, debe especificar el campo `remote-identity` con la identidad correcta del lado del cliente.
**importante**
Al usar la autenticación por certificado, cada cliente puede usar su propio certificado único o un certificado compartido para autenticarse. FSx para ONTAP, IPsec comprueba la validez del certificado en función del certificado CAs instalado en su almacén de confianza local. FSx for ONTAP también admite la comprobación de la lista de certificados revocados (CRL).
1. Para acceder a la ONTAP CLI, establezca una sesión SSH en el puerto de administración del sistema de archivos Amazon FSx for NetApp ONTAP o SVM ejecutando el siguiente comando. Reemplace `management_endpoint_ip` con la dirección IP del puerto de gestión del sistema de archivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obtener más información, consulte [Administración de sistemas de archivos con la CLI de ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilice el comando `security ipsec policy create` NetApp ONTAP CLI de la siguiente manera, sustituyendo los *sample* valores por sus valores específicos.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-remote-identity client_side_identity
```
**Para configurar IPsec para varios clientes mediante una configuración que permita a todos los clientes**
Para permitir que cualquier cliente, independientemente de su dirección IP de origen, se conecte a la dirección IP IPsec habilitada para SVM, utilice el `0.0.0.0/0` comodín al especificar el `remote-ip-subnets` campo.
Además, debe especificar el campo `remote-identity` con la identidad correcta del lado del cliente. Para la autenticación de certificados, puede introducir `ANYTHING`.
Además, cuando se utiliza el comodín 0.0.0.0/0, debe configurar un número de puerto local o remoto específico para usarlo. Por ejemplo, el puerto NFS 2049.
1. Para acceder a la ONTAP CLI, establezca una sesión SSH en el puerto de administración del sistema de archivos Amazon FSx for NetApp ONTAP o SVM ejecutando el siguiente comando. Reemplace `management_endpoint_ip` con la dirección IP del puerto de gestión del sistema de archivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obtener más información, consulte [Administración de sistemas de archivos con la CLI de ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilice el comando `security ipsec policy create` NetApp ONTAP CLI de la siguiente manera, sustituyendo los *sample* valores por sus valores específicos.
```
FsxId123456::> security ipsec policy create -vserver svm_name -name policy_name \
-local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 0.0.0.0/0 \
-local-ports 2049 -protocols tcp -auth-method PSK \
-cert-name my_nfs_server_cert -local-identity ontap_side_identity \
-local-ports 2049 -remote-identity client_side_identity
```
# Gestión de identidad y acceso para Amazon FSx for NetApp ONTAP
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos de Amazon FSx . El IAM es un Servicio de AWS servicio que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Amazon FSx for NetApp ONTAP con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad de Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
+ [Solución de problemas de identidad y acceso a Amazon FSx for NetApp ONTAP](security_iam_troubleshoot.md)
+ [Uso de roles vinculados a servicios para Amazon FSx](using-service-linked-roles.md)
+ [Uso de etiquetas con Amazon FSx](using-tags-fsx.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso a Amazon FSx for NetApp ONTAP](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon FSx for NetApp ONTAP con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad de Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon FSx for NetApp ONTAP con IAM
Antes de utilizar IAM para gestionar el acceso a Amazon FSx, consulta qué funciones de IAM están disponibles para su uso con Amazon. FSx
**Funciones de IAM que puedes usar con Amazon FSx for ONTAP NetApp**
| Característica de IAM | FSx Soporte de Amazon |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo funcionan Amazon FSx y otros AWS servicios con la mayoría de las funciones de IAM, consulta [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas basadas en la identidad de Amazon FSx
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en identidad para Amazon FSx
Para ver ejemplos de políticas de Amazon FSx basadas en la identidad, consulta. [Ejemplos de políticas basadas en la identidad de Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
## Políticas basadas en recursos en Amazon FSx
**Admite políticas basadas en recursos:** no
## Acciones políticas para Amazon FSx
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de FSx las acciones de Amazon, consulta [Acciones definidas por Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) en la *Referencia de autorización de servicio*.
Las acciones políticas en Amazon FSx usan el siguiente prefijo antes de la acción:
```
fsx
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Para ver ejemplos de políticas de Amazon FSx basadas en la identidad, consulta. [Ejemplos de políticas basadas en la identidad de Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
## Recursos de políticas para Amazon FSx
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de FSx recursos de Amazon y sus tipos ARNs, consulta [Recursos definidos por Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies) en la *Referencia de autorización de servicio*. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas por Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions). FSx
Para ver ejemplos de políticas de Amazon FSx basadas en la identidad, consulta. [Ejemplos de políticas basadas en la identidad de Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
## Claves de condición de la política para Amazon FSx
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de claves de FSx estado de Amazon, consulta [Claves de estado de Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys) en la *Referencia de autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Para ver ejemplos de políticas de Amazon FSx basadas en la identidad, consulta. [Ejemplos de políticas basadas en la identidad de Amazon for ONTAP FSx NetApp](security_iam_id-based-policy-examples.md)
## Listas de control de acceso (ACLs) en Amazon FSx
**Soporta ACLs:** No
## Control de acceso basado en atributos (ABAC) con Amazon FSx
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre el etiquetado de FSx los recursos de Amazon, consulte[Etiquetado de recursos de Amazon FSx](tag-resources.md).
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon](using-tags-fsx.md#restrict-fsx-access-tags).
## Uso de credenciales temporales con Amazon FSx
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente cuando utilizas la federación o cambias de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Sesiones de acceso directo para Amazon FSx
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos del operador principal que realiza la llamada Servicio de AWS, junto con los de solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para Amazon FSx
**Compatible con roles de servicio:** No
## Funciones vinculadas a servicios para Amazon FSx
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado al servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre la creación o la gestión de funciones FSx vinculadas a los servicios de Amazon, consulte. [Uso de roles vinculados a servicios para Amazon FSx](using-service-linked-roles.md)
# Ejemplos de políticas basadas en la identidad de Amazon for ONTAP FSx NetApp
De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar FSx los recursos de Amazon. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por Amazon FSx, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [Acciones, recursos y claves de condición de Amazon FSx](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html) en la *Referencia de autorización de servicio*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la FSx consola de Amazon](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar FSx los recursos de Amazon de tu cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la FSx consola de Amazon
Para acceder a la consola Amazon FSx for NetApp ONTAP, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirte enumerar y ver detalles sobre los FSx recursos de Amazon que tienes Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la AWS API AWS CLI o a la misma. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la FSx consola de Amazon, adjunta también la política `AmazonFSxConsoleReadOnlyAccess` AWS gestionada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
Puedes ver esta `AmazonFSxConsoleReadOnlyAccess` y otras políticas de servicios FSx gestionados de Amazon en[AWS políticas gestionadas para Amazon FSx for NetApp ONTAP](security-iam-awsmanpol.md).
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Solución de problemas de identidad y acceso a Amazon FSx for NetApp ONTAP
Utiliza la siguiente información para ayudarte a diagnosticar y solucionar los problemas habituales que puedes encontrar al trabajar con Amazon FSx e IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en Amazon FSx](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis FSx recursos de Amazon](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en Amazon FSx
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `fsx:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `fsx:GetWidget`.
Si necesitas ayuda, ponte en contacto con tu AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No estoy autorizado a realizar tareas como: PassRole
Si recibes un error que indica que no estás autorizado a realizar la `iam:PassRole` acción, debes actualizar tus políticas para que puedas transferir una función a Amazon FSx.
Algunas te Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada al servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Amazon FSx. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis FSx recursos de Amazon
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon FSx admite estas funciones, consulta[Cómo funciona Amazon FSx for NetApp ONTAP con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de roles vinculados a servicios para Amazon FSx
Amazon FSx usa roles AWS Identity and Access Management vinculados a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon. FSx Amazon predefine las funciones vinculadas al servicio FSx e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio facilita la configuración de Amazon FSx porque no tienes que añadir manualmente los permisos necesarios. Amazon FSx define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo Amazon FSx puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus FSx recursos de Amazon porque no puedes eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios para Amazon FSx
Amazon FSx usa el rol vinculado al servicio denominado **AWSServiceRoleForAmazonFSx**—, que realiza determinadas acciones en su cuenta, como crear interfaces de red elásticas para sus sistemas de archivos en su VPC y publicar métricas del sistema de archivos y el volumen en ella. CloudWatch
Para obtener actualizaciones de esta política, consulte [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
**Detalles de los permisos**
Los permisos de los AWSService RoleForAmazon FSx roles se definen en la política FSx ServiceRolePolicy AWS gestionada de Amazon. AWSServiceRoleForAmazonFSx Tiene los siguientes permisos:
**nota**
Lo AWSService RoleForAmazon FSx utilizan todos los tipos de sistemas de FSx archivos de Amazon; algunos de los permisos enumerados no son aplicables a FSx ONTAP.
+ `ds`— Permite FSx a Amazon ver, autorizar y desautorizar las aplicaciones de su Directory Service directorio.
+ `ec2`— Permite FSx a Amazon hacer lo siguiente:
+ Vea, cree y desasocie las interfaces de red asociadas a un sistema de FSx archivos de Amazon.
+ Vea una o más direcciones IP elásticas asociadas a un sistema de FSx archivos de Amazon.
+ Vea Amazon VPCs, los grupos de seguridad y las subredes asociados a un sistema de FSx archivos de Amazon.
+ Asigne IPv6 direcciones a las interfaces de red de los clientes que tengan una `AmazonFSx.FileSystemId` etiqueta.
+ Anule la asignación de IPv6 direcciones de las interfaces de red de los clientes que tengan una `AmazonFSx.FileSystemId` etiqueta.
+ Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).
+ Cree un permiso para que un usuario AWS autorizado realice determinadas operaciones en una interfaz de red.
+ `cloudwatch`— Permite FSx a Amazon publicar puntos de datos métricos CloudWatch en el espacio de FSx nombres AWS/.
+ `route53`— Permite FSx a Amazon asociar una Amazon VPC a una zona alojada privada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
}
]
}
```
------
Todas las actualizaciones de esta política están detalladas en [Amazon FSx actualiza las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la Guía del usuario de IAM.
## Crear un rol vinculado a un servicio para Amazon FSx
No necesita crear manualmente un rol vinculado a servicios. Al crear un sistema de archivos en la Consola de administración de AWS CLI de IAM o la API de IAM, Amazon FSx crea el rol vinculado al servicio automáticamente.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando creas un sistema de archivos, Amazon vuelve a FSx crear el rol vinculado al servicio para ti.
## Edición de un rol vinculado a un servicio para Amazon FSx
Amazon FSx no te permite editar el rol AWSService RoleForAmazon FSx vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Amazon FSx
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.
**nota**
Si el FSx servicio de Amazon utiliza el rol cuando intentas eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios AWSServiceRoleForAmazonFSx. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con los roles vinculados a FSx los servicios de Amazon
Amazon FSx admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [AWS Regiones y puntos de conexión](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Uso de etiquetas con Amazon FSx
Puedes usar etiquetas para controlar el acceso a FSx los recursos de Amazon e implementar el control de acceso basado en atributos (ABAC). Para aplicar etiquetas a FSx los recursos de Amazon durante la creación, los usuarios deben tener determinados permisos AWS Identity and Access Management (IAM).
## Conceder permisos para etiquetar recursos durante la creación
Con algunas acciones de la FSx API de Amazon que crean recursos, puedes especificar etiquetas al crear el recurso. Puede utilizar estas etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulta [¿Para qué sirve ABAC? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del *usuario de IAM*.
Para que los usuarios puedan etiquetar recursos en el momento de su creación, deben tener permiso para utilizar la acción que crea el recurso, como `fsx:CreateFileSystem`, `fsx:CreateStorageVirtualMachine` o `fsx:CreateVolume`. Si se especifican etiquetas en la acción de creación de recursos, IAM realiza una autorización adicional en la acción `fsx:TagResource` para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción `fsx:TagResource`.
El siguiente ejemplo de política permite a los usuarios crear sistemas de archivos y máquinas virtuales de almacenamiento (SVMs) y aplicarles etiquetas durante la creación en un lugar específico Cuenta de AWS.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:CreateStorageVirtualMachine",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*",
"arn:aws:fsx:region:account-id:file-system/*/storage-virtual-machine/*"
]
}
]
}
```
De la misma manera, la siguiente política permite que los usuarios creen copias de seguridad en un sistema de archivos específico, y apliquen cualquier etiqueta a la copia de seguridad durante la creación de la copia de seguridad.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
La acción `fsx:TagResource` solo se evalúa si se aplican etiquetas durante la acción de creación de recursos. Por lo tanto, un usuario que tenga permisos para crear un recurso (suponiendo que no existan condiciones de etiquetado) no necesita permiso para utilizar la acción `fsx:TagResource` si no se especifica ninguna etiqueta en la solicitud. Sin embargo, si el usuario intenta crear un recurso con etiquetas, la solicitud dará un error si el usuario no tiene permisos para utilizar la acción `fsx:TagResource`.
Para obtener más información sobre el etiquetado de FSx los recursos de Amazon, consulte[Etiquetado de recursos de Amazon FSx](tag-resources.md). Para obtener más información sobre el uso de etiquetas para controlar el acceso a FSx los recursos de Amazon, consulte[Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon](#restrict-fsx-access-tags).
## Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon
Para controlar el acceso a FSx los recursos y las acciones de Amazon, puedes usar políticas de IAM basadas en etiquetas. Puede proporcionar este control de dos maneras:
+ Puedes controlar el acceso a FSx los recursos de Amazon en función de las etiquetas de esos recursos.
+ Puede controlar qué etiquetas se pueden pasar en una condición de solicitud IAM.
Para obtener información sobre cómo utilizar las etiquetas para controlar el acceso a AWS los recursos, consulte [Controlar el acceso mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la *Guía del usuario de IAM*. Para obtener más información sobre cómo etiquetar FSx los recursos de Amazon en el momento de la creación, consulte[Conceder permisos para etiquetar recursos durante la creación](#supported-iam-actions-tagging). Para obtener más información acerca del etiquetado de recursos, consulte [Etiquetado de recursos de Amazon FSx](tag-resources.md).
### Control del acceso a un recurso en función de las etiquetas
Para controlar qué acciones puede realizar un usuario o un rol en un FSx recurso de Amazon, puedes usar etiquetas en el recurso. Por ejemplo, es posible que desee permitir o denegar acciones de la API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.
**Example Ejemplo de política: crear un sistema de archivos únicamente cuando se utiliza una etiqueta específica**
Esta política permite que el usuario cree un sistema de archivos solo cuando lo etiqueta con un par clave-valor específico, en este ejemplo, `key=Department`, `value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Política de ejemplo: cree copias de seguridad solo de los volúmenes de Amazon FSx para NetApp ONTAP con una etiqueta específica**
Esta política permite a los usuarios crear copias de seguridad únicamente de FSx los volúmenes de ONTAP etiquetados con el par clave-valor,. `key=Department` `value=Finance` La copia de seguridad se crea con la etiqueta `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Ejemplo de política: crear un volumen con una etiqueta específica a partir de copias de seguridad con una etiqueta específica**
Esta política permite a los usuarios crear volúmenes etiquetados con `Department=Finance` únicamente a partir de copias de seguridad etiquetadas con `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateVolumeFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Política de ejemplo: eliminar los sistemas de archivos con etiquetas específicas**
Esta política permite que un usuario elimine únicamente los sistemas de archivos que estén etiquetados con `Department=Finance`. Si crea una copia de seguridad final, debe etiquetarla con `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Ejemplo de política: eliminar un volumen con etiquetas específicas**
Esta política permite a un usuario eliminar únicamente los sistemas de archivos etiquetados con `Department=Finance`. Si crean una copia de seguridad final, deberá etiquetarse con `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteVolume"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:volume/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# AWS políticas gestionadas para Amazon FSx for NetApp ONTAP
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## Amazon FSx ServiceRolePolicy
Permite FSx a Amazon gestionar AWS los recursos en tu nombre. Consulte [Uso de roles vinculados a servicios para Amazon FSx](using-service-linked-roles.md) para obtener más información.
## AWS política gestionada: Amazon FSx DeleteServiceLinkedRoleAccess
No puede asociar `AmazonFSxDeleteServiceLinkedRoleAccess` a sus entidades IAM. Esta política está vinculada a un servicio, y se utiliza únicamente con un rol vinculado a un servicio de dicho servicio. No puede adjuntar, separar, modificar ni eliminar esta política. Para obtener más información, consulte [Uso de roles vinculados a servicios para Amazon FSx](using-service-linked-roles.md).
Esta política concede permisos administrativos que permiten FSx a Amazon eliminar su función vinculada a servicios para el acceso a Amazon S3, que solo utiliza Amazon FSx for Lustre.
**Detalles de los permisos**
Esta política incluye permisos que permiten `iam` FSx a Amazon ver, eliminar y ver el estado de eliminación de las funciones vinculadas al FSx servicio para el acceso a Amazon S3.
Para ver los permisos de esta política, consulta [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx FullAccess
Puedes adjuntar Amazon FSx FullAccess a tus entidades de IAM. Amazon FSx también vincula esta política a un rol de servicio que permite FSx a Amazon realizar acciones en tu nombre.
Proporciona acceso completo a Amazon FSx y acceso a los AWS servicios relacionados.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores tener acceso total para realizar todas las FSx acciones de Amazon, excepto`BypassSnaplockEnterpriseRetention`.
+ `ds`— Permite a los directores ver información sobre los Directory Service directorios.
+ `ec2`
+ Permite que las entidades principales creen etiquetas en las condiciones especificadas.
+ Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).
+ `iam`— Permite a los principios crear un rol vinculado a los FSx servicios de Amazon en nombre del usuario. Esto es necesario para que Amazon FSx pueda gestionar AWS los recursos en nombre del usuario.
+ `firehose`: permite que las entidades principales escriban los registros en Amazon Data Firehose. Esto es necesario FSx para que los usuarios puedan supervisar el acceso al sistema de archivos de Windows File Server enviando los registros de acceso de auditoría a Firehose.
+ `logs`: permite que las entidades principales creen grupos de registros, registren flujos y escriban eventos en los flujos de registro. Esto es necesario FSx para que los usuarios puedan supervisar el acceso al sistema de archivos del servidor de archivos de Windows enviando los registros de acceso de auditoría a CloudWatch Logs.
Para ver los permisos de esta política, consulta [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx ConsoleFullAccess
Puede asociar la política `AmazonFSxConsoleFullAccess` a las identidades de IAM.
Esta política otorga permisos administrativos que permiten el acceso total a Amazon FSx y a los AWS servicios relacionados a través del Consola de administración de AWS.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores realizar todas las acciones en la consola FSx de administración de Amazon, excepto`BypassSnaplockEnterpriseRetention`.
+ `cloudwatch`— Permite a los directores ver CloudWatch las alarmas y las métricas en la consola de FSx administración de Amazon.
+ `ds`— Permite a los directores enumerar información sobre un Directory Service directorio.
+ `ec2`
+ Permite a los directores crear etiquetas en las tablas de enrutamiento, enumerar las interfaces de red, las tablas de enrutamiento, los grupos de seguridad, las subredes y la VPC asociada a un sistema de archivos de Amazon. FSx
+ Permite a las entidades principales que proporcionen una validación mejorada de grupos de seguridad de todos los que se pueden usar con una VPC.
+ Permite a los directores ver las interfaces de red elásticas asociadas a un sistema de FSx archivos de Amazon.
+ `kms`— Permite a los directores enumerar los alias de las claves. AWS Key Management Service
+ `s3`: permite que las entidades principales creen listas de algunos o todos los objetos de un bucket de Amazon S3 (hasta 1000).
+ `secretsmanager`— Permite a los directores enumerar sus secretos AWS Secrets Manager para seleccionar las credenciales de las cuentas de servicio de unión a dominios.
+ `iam`— Otorga permiso para crear un rol vinculado a un servicio que permita FSx a Amazon realizar acciones en nombre del usuario.
Para ver los permisos de esta política, consulta [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx ConsoleReadOnlyAccess
Puede asociar la política `AmazonFSxConsoleReadOnlyAccess` a las identidades de IAM.
Esta política otorga permisos de solo lectura a Amazon FSx y los AWS servicios relacionados para que los usuarios puedan ver información sobre estos servicios en. Consola de administración de AWS
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores ver información sobre los sistemas de FSx archivos de Amazon, incluidas todas las etiquetas, en Amazon FSx Management Console.
+ `cloudwatch`— Permite a los directores ver CloudWatch las alarmas y las métricas en Amazon FSx Management Console.
+ `ds`— Permite a los directores ver información sobre un Directory Service directorio en Amazon FSx Management Console.
+ `ec2`
+ Permite a los directores ver las interfaces de red, los grupos de seguridad, las subredes y la VPC asociada a un sistema de FSx archivos de Amazon en Amazon Management Console. FSx
+ Permite a las entidades principales que proporcionen una validación mejorada de grupos de seguridad de todos los que se pueden usar con una VPC.
+ Permite a los directores ver las interfaces de red elásticas asociadas a un sistema de FSx archivos de Amazon.
+ `kms`— Permite a los directores ver los alias de las AWS Key Management Service claves en Amazon FSx Management Console.
+ `log`— Permite a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.
+ `secretsmanager`— Permite a los directores enumerar sus secretos AWS Secrets Manager para seleccionar las credenciales de las cuentas de servicio de unión a dominios.
+ `firehose`: permite que las entidades principales describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.
Para ver los permisos de esta política, consulta [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx ReadOnlyAccess
Puede asociar la política `AmazonFSxReadOnlyAccess` a las identidades de IAM.
+ `fsx`— Permite a los directores ver información sobre los sistemas de FSx archivos de Amazon, incluidas todas las etiquetas, en Amazon FSx Management Console.
+ `ec2`: para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC.
Para ver los permisos de esta política, consulta [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## Amazon FSx actualiza las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon FSx desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbete a la fuente RSS de la FSx [Historial de documentos de Amazon FSx for NetApp ONTAP](document-history.md) página de Amazon.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `secretsmanager:ListSecrets` que permite a los directores enumerar los secretos AWS Secrets Manager para seleccionar las credenciales de la cuenta de servicio de unión a dominios. | 5 de noviembre de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `secretsmanager:ListSecrets` que permite a los directores enumerar los secretos AWS Secrets Manager para seleccionar las credenciales de la cuenta de servicio de unión a dominios. | 3 de noviembre de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:AssignIpv6Addresses` que permite a los directores asignar IPv6 direcciones a las interfaces de red de los clientes que tienen una `AmazonFSx.FileSystemId` etiqueta. | 22 de julio de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:UnassignIpv6Addresses` que permite a los directores anular la asignación de IPv6 direcciones de las interfaces de red de los clientes que tienen una `AmazonFSx.FileSystemId` etiqueta. | 22 de julio de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:CreateAndAttachS3AccessPoint` que permite a los directores crear un punto de acceso S3 y adjuntarlo a un FSx volumen. | 25 de junio de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DescribeS3AccessPointAttachments` que permite a los directores enumerar todos los puntos de acceso S3 de forma Cuenta de AWS individual. Región de AWS | 25 de junio de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DetachAndDeleteS3AccessPoint` que permite a los directores eliminar un punto de acceso S3. | 25 de junio de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:CreateAndAttachS3AccessPoint` que permite a los directores crear un punto de acceso S3 y adjuntarlo a un FSx volumen. | 25 de junio de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DescribeS3AccessPointAttachments` que permite a los directores enumerar todos los puntos de acceso S3 de forma Cuenta de AWS individual. Región de AWS | 25 de junio de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DetachAndDeleteS3AccessPoint` que permite a los directores eliminar un punto de acceso S3. | 25 de junio de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:DescribeNetworkInterfaces` que permite a los directores ver las interfaces de red elásticas asociadas a su sistema de archivos. | 25 de febrero de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:DescribeNetworkInterfaces` que permite a los directores ver las interfaces de red elásticas asociadas a su sistema de archivos. | 7 de febrero de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación de datos entre regiones y cuentas FSx para los sistemas de archivos OpenZFS. | 20 de diciembre de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación de datos entre regiones y cuentas FSx para los sistemas de archivos OpenZFS. | 20 de diciembre de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación bajo demanda de volúmenes FSx para los sistemas de archivos OpenZFS. | 26 de noviembre de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación bajo demanda de volúmenes FSx para los sistemas de archivos OpenZFS. | 26 de noviembre de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los usuarios puedan ver, activar y desactivar el soporte de VPC compartido FSx para los sistemas de archivos Multi-AZ de ONTAP. | 14 de noviembre de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los usuarios puedan ver, activar y desactivar el soporte de VPC compartido FSx para los sistemas de archivos Multi-AZ de ONTAP. | 14 de noviembre de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos que permiten FSx a Amazon gestionar las configuraciones de red de los sistemas de FSx archivos Multi-AZ de OpenZFS. | 9 de agosto de 2023 |
| [AWS política gestionada: Amazon FSxServiceRolePolicy:](using-service-linked-roles.md#slr-permissions) actualización a una política existente | Amazon FSx modificó el `cloudwatch:PutMetricData` permiso existente para que Amazon FSx publique CloudWatch las métricas en el espacio de `AWS/FSx` nombres. | 24 de julio de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx actualizó la política para eliminar el `fsx:*` permiso y añadir `fsx` acciones específicas. | 13 de julio de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx actualizó la política para eliminar el `fsx:*` permiso y añadir `fsx` acciones específicas. | 13 de julio de 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los usuarios ver las métricas de rendimiento mejoradas y las acciones recomendadas FSx para los sistemas de archivos Windows File Server en la FSx consola de Amazon. | 21 de septiembre de 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los usuarios ver las métricas de rendimiento mejoradas y las acciones recomendadas FSx para los sistemas de archivos Windows File Server en la FSx consola de Amazon. | 21 de septiembre de 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): comenzó la política de seguimiento | Esta política otorga acceso de solo lectura a todos los FSx recursos de Amazon y a las etiquetas asociadas a ellos. | 4 de febrero de 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess): comenzó la política de seguimiento | Esta política concede permisos administrativos que permiten FSx a Amazon eliminar su función vinculada a servicios para el acceso a Amazon S3. | 7 de enero de 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon pueda FSx gestionar las configuraciones de red de Amazon FSx para los sistemas de archivos NetApp ONTAP. | 2 de septiembre de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx añadió nuevos permisos para que Amazon FSx cree etiquetas en las tablas de enrutamiento de EC2 para llamadas restringidas. | 2 de septiembre de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a Amazon crear Amazon FSx FSx para los sistemas de archivos Multi-AZ de NetApp ONTAP. | 2 de septiembre de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx añadió nuevos permisos para que Amazon FSx cree etiquetas en las tablas de enrutamiento de EC2 para llamadas restringidas. | 2 de septiembre de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon FSx pueda describir y escribir en las secuencias de registro de CloudWatch Logs. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de FSx los sistemas de archivos del servidor de archivos de Windows mediante CloudWatch registros. | 8 de junio de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon pueda FSx describir y escribir en las transmisiones de entrega de Amazon Data Firehose. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server mediante Amazon Data Firehose. | 8 de junio de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó nuevos permisos para permitir a los directores describir y crear grupos de CloudWatch registros, flujos de registro y escribir eventos en flujos de registro. Esto es necesario para que los directores puedan ver los registros de auditoría de acceso a los archivos de los sistemas de FSx archivos del servidor de archivos de Windows mediante CloudWatch registros. | 8 de junio de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó nuevos permisos para permitir a los directores describir y escribir registros en una Amazon Data Firehose. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server mediante Amazon Data Firehose. | 8 de junio de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan elegir un grupo de CloudWatch registros existente al configurar la auditoría de acceso a los archivos FSx para un sistema de archivos del servidor de archivos de Windows. | 8 de junio de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los responsables describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan elegir un flujo de entrega de Firehose existente al configurar la auditoría de acceso a los archivos para FSx un sistema de archivos para Windows File Server. | 8 de junio de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows. | 8 de junio de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los responsables describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows. | 8 de junio de 2021 |
| Amazon FSx comenzó a rastrear los cambios | Amazon FSx comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 8 de junio de 2021 |
# Control de acceso al sistema de archivos con Amazon VPC
Accede a tus sistemas de archivos de Amazon FSx for NetApp ONTAP SVMs utilizando el nombre DNS o la dirección IP de uno de sus puntos de conexión, según el tipo de acceso del que se trate. El nombre DNS se asigna a la dirección IP privada de la interfaz de red elástica del sistema de archivos o SVM en su VPC. Solo los recursos de la VPC asociada, o los recursos conectados a la VPC asociada mediante una VPN, pueden acceder a los datos del sistema de archivos a través de los protocolos NFS, SMB Direct Connect o iSCSI. Para obtener más información, consulte [¿Qué es Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) en la *Guía del usuario de Amazon VPC*.
**aviso**
No debe modificar ni eliminar las interfaces elásticas de red asociadas al sistema de archivos. Si se modifica o elimina la interfaz de red, se puede provocar una pérdida permanente de la conexión entre la VPC y el sistema de archivos.
## Grupos de seguridad de Amazon VPC
Un grupo de seguridad actúa como un firewall virtual para los sistemas de archivos de ONTAP a FSx fin de controlar el tráfico entrante y saliente. Las reglas de entrada controlan el tráfico entrante a su sistema de archivos y las reglas de salida controlan el tráfico saliente de su sistema de archivos. Al crear un sistema de archivos, se especifica la VPC en la que se crea y se aplica el grupo de seguridad predeterminado para esa VPC. Puede añadir reglas a cada grupo de seguridad que permitan el tráfico hacia o desde sus sistemas de archivos asociados y SVMs. Puede modificar las reglas de un grupo de seguridad en cualquier momento. Las reglas nuevas y modificadas se aplican automáticamente a todos los recursos que están asociados al grupo de seguridad. Cuando Amazon FSx decide si permite que el tráfico llegue a un recurso, evalúa todas las reglas de todos los grupos de seguridad asociados al recurso.
Para usar un grupo de seguridad para controlar el acceso a tu sistema de FSx archivos de Amazon, añade reglas de entrada y salida. Las reglas de entrada controlan el tráfico que ingresa a la instancia, y las de salida, el que sale. Asegúrese de tener las reglas de tráfico de red correctas en su grupo de seguridad para asignar el recurso compartido de FSx archivos de su sistema de archivos de Amazon a una carpeta de la instancia de procesamiento compatible.
Para obtener más información sobre las reglas del grupo de seguridad, consulte las [reglas del grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules) en la *guía del usuario de Amazon EC2*.
### Creación de un grupo de seguridad de VPC
**Para crear un grupo de seguridad para Amazon FSx**
1. [Abra la consola Amazon EC2 en https://console.aws.amazon.com /ec2.](https://console.aws.amazon.com/ec2)
1. En el panel de navegación, elija **Grupos de seguridad**.
1. Elija **Crear grupo de seguridad**.
1. Especifique un nombre y una descripción para el grupo de seguridad.
1. Para la **VPC**, elija la VPC de Amazon asociada al sistema de archivos para crear el grupo de seguridad dentro de esa VPC.
1. Para las reglas de salida, permita todo el tráfico en todos los puertos.
1. Agregue las siguientes reglas de entrada al grupo de seguridad. En el campo de **origen**, debe seleccionar **Personalizado** e introducir los grupos de seguridad o los intervalos de direcciones IP asociados a las instancias que necesitan acceder al sistema de archivos de ONTAP, incluidos: FSx
+ Clientes de Linux, Windows y and/or macOS que acceden a los datos de su sistema de archivos a través de NFS, SMB o iSCSI.
+ Cualquier archivo de ONTAP systems/clusters que vaya a vincular a su sistema de archivos (por ejemplo, para usarlo SnapMirror, SnapVault o). FlexCache
+ Cualquier cliente que vaya a utilizar para acceder a la API REST, la CLI o ZAPIs (por ejemplo, una Harvest/Grafana instancia, un NetApp conector o una NetApp consola) de ONTAP.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/limit-access-security-groups.html)
1. Agregue el grupo de seguridad a la interfaz de red elástica del sistema de archivos.
#### Denegar el acceso a un sistema de archivos
Para impedir temporalmente el acceso de red al sistema de archivos a todos los clientes, puede eliminar todos los grupos de seguridad asociados a las interfaces elastic network del sistema de archivos y sustituirlos por un grupo que no tenga inbound/outbound reglas.
# Validación de conformidad de Amazon FSx para NetApp ONTAP
Para saber si un programa de conformidad Servicio de AWS está incluido [Servicios de AWS en el ámbito de aplicación de programas de conformidad específicos, consulte Alcance por programa](https://aws.amazon.com/compliance/services-in-scope/) de de conformidad y elija el programa de conformidad que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Amazon FSx para NetApp ONTAP y puntos finales de VPC de interfaz ()AWS PrivateLink
Puede mejorar la seguridad de su VPC configurando Amazon FSx para que utilice un punto de enlace de VPC de interfaz. Los puntos finales de VPC de interfaz cuentan con una tecnología que le permite acceder de forma privada a Amazon FSx APIs sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. [AWS PrivateLink](https://aws.amazon.com/privatelink) Direct Connect Las instancias de tu VPC no necesitan direcciones IP públicas para comunicarse con Amazon. FSx APIs El tráfico entre tu VPC y Amazon FSx no sale de la AWS red.
Cada punto de conexión de VPC de la interfaz está representado por una o más interfaces de red elásticas en las subredes. Una interfaz de red proporciona una dirección IP privada que sirve como punto de entrada para el tráfico a la FSx API de Amazon. Amazon FSx admite puntos de enlace de VPC configurados con tipos de direcciones IP ( IPv4 IPv4 y IPv6) de doble pila. Para obtener más información, consulte [ Creación de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la *Guía del usuario de Amazon VPC*.
## Consideraciones sobre los puntos de enlace de FSx VPC de la interfaz de Amazon
Antes de configurar un punto de enlace de VPC de interfaz para Amazon FSx, asegúrese de revisar las [propiedades y limitaciones del punto de enlace de VPC de interfaz en](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) la Guía del usuario de Amazon *VPC*.
Puedes llamar a cualquiera de las operaciones de la FSx API de Amazon desde tu VPC. Por ejemplo, puede crear un sistema de archivos FSx para ONTAP llamando a la CreateFileSystem API desde su VPC. Para ver la lista completa de Amazon FSx APIs, consulta [Acciones](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) en la referencia de la FSx API de Amazon.
### Consideraciones sobre el emparejamiento de VPC
Puede conectar otros VPCs a la VPC con puntos finales de la VPC de interfaz mediante el emparejamiento de VPC. El emparejamiento de VPC es una conexión de red entre dos. VPCs Puede establecer una conexión de emparejamiento de VPC entre sus dos VPCs VPC o con una VPC de otra. Cuenta de AWS También VPCs puede estar en dos tipos diferentes. Regiones de AWS
El tráfico entre pares VPCs permanece en la AWS red y no atraviesa la Internet pública. Una vez que las VPC están interconectadas, los recursos como las instancias de Amazon Elastic Compute Cloud (Amazon EC2) de ambas VPCs pueden acceder a la FSx API de Amazon a través de los puntos de enlace de la VPC de la interfaz creados en uno de los. VPCs
## Creación de un punto de enlace de VPC de interfaz para la API de Amazon FSx
Puede crear un punto de enlace de VPC para la FSx API de Amazon mediante la consola de Amazon VPC o el (). AWS Command Line Interface AWS CLI Para obtener más información, consulte [ Creación de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) en la *Guía del usuario de Amazon VPC*.
Para crear un punto de enlace de VPC de interfaz para Amazon FSx, utilice una de las siguientes opciones:
+ `com.amazonaws.region.fsx`— Crea un punto final para las operaciones de la FSx API de Amazon.
+ **`com.amazonaws.region.fsx-fips`**— Crea un punto final para la FSx API de Amazon que cumple con la [Norma Federal de Procesamiento de Información (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Para utilizar la opción de DNS privado, debe configurar los atributos `enableDnsHostnames` y `enableDnsSupport` de su VPC. Para obtener más información, consulte [Visualización y actualización de la compatibilidad de DNS para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) en la *Guía del usuario de Amazon VPC*.
A excepción Regiones de AWS de China, si habilitas el DNS privado para el punto de conexión, puedes realizar solicitudes de API a Amazon FSx con el punto de enlace de la VPC utilizando su nombre de DNS predeterminado Región de AWS, por ejemplo. `fsx.us-east-1.amazonaws.com` Para China (Pekín) y China (Ningxia) Regiones de AWS, puede realizar solicitudes de API con el punto final de la VPC `fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn` mediante `fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn` y, respectivamente.
Para obtener más información, consulte [ Acceso a un servicio a través de un punto de conexión de VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) en la *Guía del usuario de Amazon VPC*.
## Creación de una política de puntos de conexión de VPC para Amazon FSx
Para controlar el acceso a la FSx API de Amazon, puedes adjuntar una política AWS Identity and Access Management (IAM) a tu punto de conexión de VPC. La política especifica lo siguiente:
+ La entidad principal que puede realizar acciones.
+ Las acciones que se pueden realizar.
+ Los recursos en los que se pueden llevar a cabo las acciones.
Para más información, consulte [Control del acceso a los servicios con puntos de enlace de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
# Resiliencia en Amazon FSx para NetApp ONTAP
La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
[Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Además de la infraestructura AWS global, Amazon FSx ofrece varias funciones que ayudan a respaldar sus necesidades de respaldo y resiliencia de datos.
## Copia de seguridad y restauración
Amazon FSx crea y guarda copias de seguridad automatizadas de los volúmenes de su sistema de archivos Amazon FSx for NetApp ONTAP. Amazon FSx crea copias de seguridad automatizadas de sus volúmenes durante la ventana de copia de seguridad de su sistema de archivos Amazon FSx for NetApp ONTAP. Amazon FSx guarda las copias de seguridad automatizadas de sus volúmenes según el período de retención de copias de seguridad que especifique. Además, puede realizar una copia de seguridad de los volúmenes manualmente, mediante la creación de una copia de seguridad iniciada por el usuario. Para restaurar una copia de seguridad de un volumen en cualquier momento, debe crear un volumen nuevo con la copia de seguridad especificada como origen.
Para obtener más información, consulte [Protección de datos con copias de seguridad de volúmenes](using-backups.md).
## Snapshots
Amazon FSx crea copias instantáneas de los volúmenes de Amazon FSx for NetApp ONTAP. Las copias instantáneas ofrecen protección contra la eliminación o modificación accidental de los archivos de sus volúmenes por parte de los usuarios finales. Para obtener más información, consulte [Protección de los datos con instantáneas](snapshots-ontap.md).
## Zonas de disponibilidad
Los sistemas de archivos Amazon FSx for NetApp ONTAP están diseñados para proporcionar una disponibilidad continua de los datos incluso en caso de que se produzca un fallo en el servidor. Cada sistema de archivos funciona con dos servidores de archivos en al menos una zona de disponibilidad, cada uno con su propio almacenamiento. Amazon replica FSx automáticamente sus datos para protegerlos de fallos de los componentes, supervisa continuamente los fallos de hardware y reemplaza automáticamente los componentes de la infraestructura en caso de que se produzca un fallo. Los sistemas de archivos conmutan automáticamente cuando es necesario (normalmente en 60 segundos) y los clientes conmutan automáticamente con el sistema de archivos.
### Sistemas de archivos de Multi-AZ
Los sistemas de archivos Amazon FSx for NetApp ONTAP ofrecen una alta disponibilidad y durabilidad en todas las zonas de AWS disponibilidad, y están diseñados para proporcionar una disponibilidad continua de los datos incluso en el caso de que una zona de disponibilidad no esté disponible.
Para obtener más información, consulte [Opciones de disponibilidad, durabilidad e implementación](high-availability-AZ.md).
### Sistemas de archivos Single-AZ
Los sistemas de archivos Amazon FSx for NetApp ONTAP ofrecen una alta disponibilidad y durabilidad dentro de una única zona de AWS disponibilidad, y están diseñados para ofrecer una disponibilidad continua dentro de esa zona de disponibilidad en caso de que se produzca un fallo en un servidor de archivos individual o en un disco.
Para obtener más información, consulte [Opciones de disponibilidad, durabilidad e implementación](high-availability-AZ.md).
# Seguridad de infraestructuras en Amazon FSx para NetApp ONTAP
Como servicio gestionado, Amazon FSx for NetApp ONTAP está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utilizas las llamadas a la API AWS publicadas para acceder a Amazon FSx a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
# Utilice NetApp ONTAP Vscan con FSx ONTAP
Puede utilizar la característica Vscan de NetApp ONTAP's para ejecutar software antivirus de terceros compatible. Para obtener más información, consulte los siguientes recursos para cada una de las soluciones compatibles.
+ Deep Instinct: [soluciones asociadas a Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) y [y documentación Deep Instinct 1](https://portal.deepinstinct.com/pages/dikb)
+ SentinelOne — [Soluciones asociadas de Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) y [SentinelOne Singularity Cloud Data Security](https://www.sentinelone.com/platform/singularity-cloud-data-security)
+ Symantec: [soluciones asociadas a Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) y [motor de protección de Symantec](https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint-security-and-management/symantec-protection-engine/9-1-0.html)
+ [Trellix (anteriormente McAfee): soluciones para socios de [Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html) y documentación de productos de Trellix](https://docs.trellix.com/)
+ Trend Micro: [soluciones asociadas a Vscan](https://docs.netapp.com/us-en/ontap/antivirus/vscan-partner-solutions.html)
**nota**
1 Debe iniciar sesión en el portal de Deep Instinct para ver su documentación.
# Usuarios y roles de ONTAP
NetApp ONTAP incluye una sólida y extensible capacidad de control de acceso basado en roles (RBAC). Los roles de ONTAP definen las capacidades y los privilegios de los usuarios al utilizar la CLI y la API de REST de ONTAP. Cada rol define un nivel diferente de capacidades y privilegios administrativos. Al utilizar la API ONTAP REST y la CLI, se asignan funciones a los usuarios con el fin de controlar su acceso a FSx los recursos de ONTAP. Hay ONTAP funciones disponibles por separado FSx para los usuarios del sistema de archivos de ONTAP y para los usuarios de máquinas virtuales de almacenamiento (SVM).
Al crear un sistema de archivos FSx para ONTAP, se crea un ONTAP usuario predeterminado en el nivel del sistema de archivos y en el nivel de SVM. Puede crear usuarios adicionales del sistema de archivos y de la SVM, como así también puede crear roles de SVM adicionales para satisfacer las necesidades de la organización. En este capítulo, se explican los usuarios y roles de ONTAP y se proporcionan procedimientos detallados para crear usuarios y roles de SVM adicionales.
## Roles y usuarios del administrador del sistema de archivos
El usuario predeterminado del sistema de archivos de ONTAP es `fsxadmin`, quien tiene el rol de `fsxadmin` asignado. Hay dos roles predefinidos que puede asignar a los usuarios del sistema de archivos, que se enumeran a continuación:
+ **`fsxadmin`**: los administradores con este rol tienen derechos ilimitados en el sistema de ONTAP. Pueden configurar todos los recursos del sistema de archivos y de nivel SVM disponibles en FSx los sistemas de archivos ONTAP.
+ **`fsxadmin-readonly`**: los administradores con este rol pueden ver todo en el nivel del sistema de archivos, pero no pueden realizar ningún cambio.
Este rol es adecuado para usarse con aplicaciones de supervisión, como NetApp Harvest, ya que tiene acceso de solo lectura a todos los recursos disponibles y sus propiedades, pero no puede realizar ningún cambio en ellos.
Puede crear usuarios adicionales del sistema de archivos y asignarles el rol `fsxadmin` o `fsxadmin-readonly`. No puede crear nuevos roles ni modificar los roles existentes. Para obtener más información, consulte [Creación de nuevos usuarios de ONTAP para la administración del sistema de archivos y la SVM](#file-system-roles-and-users).
En la siguiente tabla, se describe el nivel de acceso que tienen los roles de administrador del sistema de archivos a los comandos y directorios de comandos de la CLI y la API de REST de ONTAP.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/roles-and-users.html)
## Roles y usuarios de administrador de la SVM
Cada SVM tiene un dominio de autenticación independiente y sus propios administradores pueden administrarlo de forma independiente. Para cada SVM del sistema de archivos, el usuario predeterminado es *vsadmin*, al que se le ha asignado el rol `vsadmin` de forma predeterminada.. Además del rol `vsadmin`, hay otros roles de SVM predefinidos que proporcionan permisos específicos que puede asignar a los usuarios de SVM. También puede crear roles personalizados que proporcionen el nivel de control de acceso que mejor se adapte a las necesidades de la organización.
Los roles predefinidos de los administradores de SVM y sus capacidades son las siguientes:
| Nombre del rol | Capacidades |
| --- | --- |
| `vsadmin` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-volume` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-protocol` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-backup` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-snaplock` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/roles-and-users.html) |
| `vsadmin-readonly` | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/fsx/latest/ONTAPGuide/roles-and-users.html) |
Para obtener más información sobre cómo crear un nuevo, consulte [Creación de roles de SVM](creating-new-svm-roles.md).
## Uso de un Active Directory para autenticar usuarios de ONTAP
Puede autenticar el acceso de los usuarios del dominio Windows Active Directory a un FSx sistema de archivos ONTAP y a un SVM. Debe realizar las siguientes tareas para que las cuentas de Active Directory puedan acceder a su sistema de archivos:
+ Debe configurar el acceso del controlador de dominio de Active Directory a la SVM.
La SVM que use para configurar como puerta de enlace o túnel para el acceso al controlador de dominio de Active Directory debe tener el CIFS activado, estar unida a un Active Directory o ambas opciones. Si no está habilitando el CIFS y solo va a unir la SVM de túnel a un Active Directory, corrobore que la SVM esté unida al Active Directory. Para obtener más información, consulte [Cómo funciona SVMs la unión a Microsoft Active Directory](self-managed-AD-join.md).
+ Debe habilitar una cuenta de usuario de dominio de Active Directory para acceder al sistema de archivos.
Puede usar la autenticación por contraseña o la autenticación por clave pública SSH para los usuarios del dominio de Windows que acceden a la CLI o a la API de REST de ONTAP.
Para ver los procedimientos que describen cómo configurar la autenticación de Active Directory para los administradores de sistemas de archivos y la SVM, consulte [Configuración de la autenticación con Active Directory para usuarios de ONTAP](set-up-ad-auth.md).
## Creación de nuevos usuarios de ONTAP para la administración del sistema de archivos y la SVM
Cada usuario de ONTAP está asociado a una SVM o al sistema de archivos. Los usuarios del sistema de archivos con el rol `fsxadmin` pueden crear nuevos roles y usuarios de SVM mediante el comando [https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https:/docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) de la CLI de ONTAP.
El comando `security login create` crea un método de inicio de sesión para la utilidad de administración. Un método de inicio de sesión consta de un nombre de usuario, una aplicación (método de acceso) y un método de autenticación. Un nombre de usuario se puede asociar a varias aplicaciones. Si lo desea, puede incluir un nombre de rol de control de acceso. Si se usa un nombre de grupo del Active Directory, el protocolo ligero de acceso a directorios (LDAP) o el servicio de información de red (NIS), el método de inicio de sesión da acceso a los usuarios que pertenecen al grupo especificado. Si el usuario es miembro de varios grupos aprovisionados en la tabla de inicio de sesión de seguridad, tendrá acceso a una lista combinada de comandos autorizados para grupos individuales.
Para obtener información sobre cómo crear un usuario nuevo de ONTAP, consulte [Creación de usuarios de ONTAP](create-new-ontap-users.md).
**Topics**
+ [Roles y usuarios del administrador del sistema de archivos](#file-system-admin-roles)
+ [Roles y usuarios de administrador de la SVM](#svm-admin-roles)
+ [Uso de un Active Directory para autenticar usuarios de ONTAP](#ad-tunneling)
+ [Creación de nuevos usuarios de ONTAP para la administración del sistema de archivos y la SVM](#file-system-roles-and-users)
+ [Creación de usuarios de ONTAP](create-new-ontap-users.md)
+ [Creación de roles de SVM](creating-new-svm-roles.md)
+ [Configuración de la autenticación con Active Directory para usuarios de ONTAP](set-up-ad-auth.md)
+ [Configuración de la autenticación de clave pública](public-key-auth.md)
+ [Actualización de los requisitos de contraseña para los roles del sistema de archivos y la SVM](update-password-requirements.md)
+ [Se produce un error al actualizar la contraseña de la cuenta `fsxadmin`](updating-admin-password.md)
# Creación de usuarios de ONTAP
**Cómo crear un nuevo usuario de la SVM o del sistema de archivos (CLI de ONTAP)**
Solo los usuarios del sistema de archivos con el rol `fsxadmin` pueden crear nuevos usuarios de la SVM y del sistema de archivos.
1. Para acceder a la ONTAP CLI, establezca una sesión SSH en el puerto de administración del sistema de archivos Amazon FSx for NetApp ONTAP o SVM ejecutando el siguiente comando. Reemplace `management_endpoint_ip` con la dirección IP del puerto de gestión del sistema de archivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obtener más información, consulte [Administración de sistemas de archivos con la CLI de ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Utilice el comando `security login create` ONTAP CLI para crear una nueva cuenta de usuario en su sistema FSx de archivos ONTAP o SVM.
Introduzca los datos de los marcadores de posición del ejemplo para definir las siguientes propiedades obligatorias:
+ `-vserver`: especifica el nombre de la SVM en la que desea crear el nuevo rol o usuario de SVM. Si va a crear un rol o usuario del sistema de archivos, no especifique una SVM.
+ `-user-or-group-name`: especifica el nombre de usuario o el nombre del grupo de Active Directory del método de inicio de sesión. El nombre del grupo de Active Directory solo se puede especificar con el método de autenticación de `domain` y las aplicaciones de `ontapi` y `ssh`.
+ `-application`: especifica la aplicación del método de inicio de sesión. Los valores posibles incluyen http, ontapi y ssh.
+ `-authentication-method`: especifica el método de autenticación para iniciar sesión. Entre los valores posibles se incluyen:
+ dominio: se usa para la autenticación con Active Directory
+ contraseña: se usa para la autenticación con contraseña
+ clave pública: se usa para la autenticación con clave pública
+ `-role`: especifica el nombre del rol de control de acceso para el método de inicio de sesión. En el nivel del sistema de archivos, el único rol que se puede especificar es `fsxadmin`.
(Opcional) También puede usar uno o más de los siguientes parámetros con el comando:
+ `[-comment]`: se usa para incluir una anotación o un comentario en la cuenta de usuario. Por ejemplo, **Guest account**. La longitud máxima es de 128 caracteres.
+ `[-second-authentication-method {none|publickey|password|nsswitch}]`: especifica el método de autenticación de segundo factor. Puede especificar los siguientes métodos:
+ contraseña: se usa para la autenticación con contraseña
+ clave pública: se usa para la autenticación con clave pública
+ nsswitch: se usa para la autenticación NIS o LDAP
+ nada: el valor predeterminado si no especifica uno
```
Fsx0123456::> security login create -vserver vserver_name -user-or-group-name user_or_group_name -application login_application -authentication-method auth_method -role role_or_account_name
```
El siguiente comando crea un nuevo usuario del sistema de archivos `new_fsxadmin` con el rol `fsxadmin-readonly` asignado, usando SSH con una contraseña para iniciar sesión. Cuando se solicite, proporcione una contraseña para el usuario.
```
Fsx0123456::> security login create -user-or-group-name new_fsxadmin -application ssh -authentication-method password -role fsxadmin-readonly
Please enter a password for user 'new_fsxadmin':
Please enter it again:
Fsx0123456::>
```
1. El siguiente comando crea un nuevo usuario de SVM `new_vsadmin` en la SVM de `fsx` con el rol `vsadmin_readonly`, configurado para usar SSH con una contraseña para iniciar sesión. Cuando se solicite, proporcione una contraseña para el usuario.
```
Fsx0123456::> security login create -vserver fsx -user-or-group-name new_vsadmin -application ssh -authentication-method password -role vsadmin-readonly
Please enter a password for user 'new_vsadmin':
Please enter it again:
Fsx0123456::>
```
1. El siguiente comando crea un nuevo usuario del sistema de archivos de solo lectura `harvest2-user` que la aplicación NetApp Harvest utilizará para recopilar métricas de rendimiento y capacidad. Para obtener más información, consulte [Monitoreo de sistemas de archivos de FSx en ONTAP mediante Harvest y Grafana](monitoring-harvest-grafana.md).
```
Fsx0123456::> security login create -user-or-group-name harvest2-user -application ssh -role fsxadmin-readonly -authentication-method password
```
**Cómo ver la información de todos los usuarios del sistema de archivos y la SVM**
+ Utilice el siguiente comando para ver toda la información de inicio de sesión de su sistema de archivos y. SVMs
```
Fsx0123456::> security login show
Vserver: Fsx0123456
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
autosupport console password autosupport no none
fsxadmin http password fsxadmin no none
fsxadmin ontapi password fsxadmin no none
fsxadmin ssh password fsxadmin no none
fsxadmin ssh publickey fsxadmin - none
new_fsxadmin ssh password fsxadmin-readonly
no none
Vserver: fsx
Second
User/Group Authentication Acct Authentication
Name Application Method Role Name Locked Method
-------------- ----------- ------------- ---------------- ------ --------------
new_vsadmin ssh password vsadmin-readonly no none
vsadmin http password vsadmin yes none
vsadmin ontapi password vsadmin yes none
vsadmin ssh password vsadmin yes none
10 entries were displayed.
Fsx0123456::>
```
# Creación de roles de SVM
Cada SVM que cree tiene un administrador de SVM predeterminado al que se le asigna el rol `vsadmin` predefinido. Además del conjunto de [roles de SVM predefinidas](roles-and-users.md#svm-admin-roles), puede crear nuevos roles de SVM. Si necesita crear nuevos roles para la SVM, use el comando `security login role create` de la CLI de ONTAP. Este comando está disponible para los administradores de sistemas de archivos que tengan el rol `fsxadmin`.
**Cómo crear un nuevo rol de SVM (CLI de ONTAP)**
1. Puede crear un nuevo rol de SVM mediante el comando [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-create.html) de la ONTAP CLI:
```
Fsx0123456::> security login role create -vserver vs1.example.com -role vol_role -cmddirname volume
```
1. Especifique los parámetros en el comando de la siguiente manera:
+ `-vserver` el nombre de la SVM
+ `-role`: nombre del rol
+ `-cmddirname`: el comando o el directorio de comandos al que da acceso el rol. Escriba los nombres de los subdirectorios de comandos entre comillas. Por ejemplo, `"volume snapshot"`. Introduzca `DEFAULT` para especificar todos los directorios de comandos.
1. (Opcional) También puede añadir uno o más de los siguientes parámetros al comando:
+ `-vserver`: nombre de la SVM asociada al rol.
+ `-access`: el nivel de acceso del rol. En el caso de los directorios de comandos, esto incluye:
+ `none`: deniega el acceso a los comandos del directorio de comandos. Este es el valor predeterminado para los roles personalizados.
+ `readonly`: concede acceso a los comandos show en el directorio de comandos y sus subdirectorios.
+ `all`: concede acceso a todos los comandos del directorio de comandos y sus subdirectorios. Para conceder o denegar el acceso a los comandos tipos intrínsecos, debe especificar el directorio de comandos.
Para los comandos de tipos no intrínsecos (comandos que no terminan en`create`, `modify`, `delete` o `show`):
+ `none`: deniega el acceso a los comandos del directorio de comandos. Este es el valor predeterminado para los roles personalizados.
+ `readonly`: no aplicable No utilice.
+ `all`: concede acceso al comando.
+ `-query`: el objeto de consulta que se utiliza para filtrar el nivel de acceso, que se especifica en forma de una opción válida para el comando o para un comando del directorio de comandos. Escriba el objeto de consulta entre comillas.
1. Ejecute el comando `security login role create`.
El siguiente comando crea un rol de control de acceso denominado “admin” para el servidor virtual vs1.example.com. El rol tiene acceso total al comando “volume”, pero solo dentro del agregado “aggr0”.
```
Fsx0123456::>security login role create -role admin -cmddirname volume -query "-aggr aggr0" -access all -vserver vs1.example.com
```
# Configuración de la autenticación con Active Directory para usuarios de ONTAP
Use la CLI de ONTAP para configurar el uso de la autenticación de Active Directory para los usuarios del sistema de archivos y la SVM de ONTAP.
Debe ser un administrador del sistema de archivos con el rol `fsxadmin` para usar los comandos de este procedimiento.
**Cómo configurar la autenticación de Active Directory para usuarios de ONTAP (CLI de ONTAP)**
Los comandos de este procedimiento están disponibles para los usuarios del sistema de archivos con el rol `fsxadmin`.
1. Para acceder a la ONTAP CLI, establezca una sesión SSH en el puerto de administración del sistema de archivos Amazon FSx for NetApp ONTAP o SVM ejecutando el siguiente comando. Reemplace `management_endpoint_ip` con la dirección IP del puerto de gestión del sistema de archivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obtener más información, consulte [Administración de sistemas de archivos con la CLI de ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. Use el comando [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-domain-tunnel-create.html) como se muestra para establecer un túnel de dominio para autenticar a los usuarios de Windows Active Directory. *svm\$1name*Sustitúyalo por el nombre del SVM que está utilizando para el túnel de dominio.
```
FsxId0123456::> security login domain-tunnel create -vserver svm_name
```
1. Use el comando [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-create.html) para crear cuentas de usuario de dominio de Active Directory que accederán al sistema de archivos.
Especifique los parámetros en el comando de la siguiente manera:
+ `-vserver`: el nombre de la SVM configurada con CIFS y está unida al Active Directory. Se usará como túnel para autenticar a los usuarios del dominio de Active Directory en el sistema de archivos, en el que se creará el nuevo rol o usuario.
+ `-user-or-group-name`: el nombre de usuario o el nombre del grupo de Active Directory del método de inicio de sesión. El nombre del grupo de Active Directory solo se puede especificar con el método de autenticación `domain`, `ontapi` y la aplicación `ssh`.
+ `-application`: la aplicación del método de inicio de sesión. Los valores posibles incluyen http, ontapi y ssh.
+ `-authentication-method`: el método de autenticación usado para iniciar sesión. Entre los valores posibles se incluyen:
+ dominio: para la autenticación con Active Directory
+ contraseña: para la autenticación con contraseña
+ clave pública: para la autenticación con clave pública
+ `-role`: el nombre del rol de control de acceso del método de inicio de sesión. En el nivel del sistema de archivos, el único rol que se puede especificar es `-role fsxadmin`.
En el siguiente ejemplo, se crea una cuenta de usuario de dominio de Active Directory `CORP\Admin` para el sistema de archivos `filesystem1`.
```
FSxId012345::> security login create -vserver filesystem1 -username CORP\Admin -application ssh -authmethod domain -role fsxadmin
```
En el siguiente ejemplo, se crea la cuenta de usuario `CORP\Admin` con autenticación con clave pública.
```
FsxId0123456ab::> security login create -user-or-group-name "CORP\Admin" -application ssh -authentication-method publickey -role fsxadmin
Warning: To use public-key authentication, you must create a public key for user "CORP\Admin".
```
Cree una clave pública para el usuario `CORP\Admin` mediante el siguiente comando:
```
FsxId0123456ab::> security login publickey create -username "CORP\Admin" -publickey "ecdsa-sha2-nistp256 SECRET_STRING_HERE_IS_REDACTED= cwaltham@b0be837a91bf.ant.amazon.com"
```
**Cómo iniciar sesión en el sistema de archivos mediante SSH con credenciales de Active Directory**
+ En el siguiente ejemplo, se muestra cómo utilizar SSH en el sistema de archivos con las credenciales de Active Directory si se elige `ssh` para el tipo `-application`. El `username` tiene el formato `"domain-name\user-name"`, que es el nombre de dominio y el nombre de usuario que proporcionó al crear la cuenta, separados por una barra invertida y entre comillas.
```
Fsx0123456::> ssh "CORP\user"@management.fs-abcdef01234567892.fsx.us-east-2.aws.com
```
Cuando se le pida que introduzca una contraseña, utilice la contraseña del usuario de Active Directory.
# Configuración de la autenticación de clave pública
Para habilitar la autenticación de clave pública SSH, primero debe generar una clave SSH y asociarla a una cuenta de administrador mediante el comando `security login publickey create`. Esto permite que la cuenta acceda a la SVM. El comando `security login publickey create` acepta los siguientes parámetros.
| Parámetro | Description (Descripción) |
| --- | --- |
| `-vserver` (opcional) | El nombre de la SVM a la que accede la cuenta. Si va a configurar la autenticación con clave pública de SSH para los usuarios del sistema de archivos, no incluya `-versver`. |
| `-username` | El nombre de usuario de la cuenta. El valor predeterminado, `admin`, es el nombre predeterminado del administrador del clúster. |
| `-index` | El número de índice de la clave pública. El valor predeterminado es 0 si la clave es la primera clave que se crea para la cuenta. De lo contrario, el valor predeterminado es uno más que el número de índice más alto existente para la cuenta. |
| `-publickey` | La clave pública de OpenSSH. Escriba la clave entre comillas. |
| `-role` | El rol de control de acceso que se asigna a la cuenta. |
| `-comment` (opcional) | Texto descriptivo de la clave pública. Escriba el texto entre comillas. |
El siguiente ejemplo asocia una clave pública con la cuenta de administrador SVM `svmadmin` para la SVM `svm01`. A la clave pública se le asigna un número de índice `5`.
```
Fsx0123456::> security login publickey create -vserver svm01 -username svmadmin -index 5 -publickey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAspH64CYbUsDQCdW22JnK6J/vU9upnKzd2zAk9C1f7YaWRUAFNs2Qe5lUmQ3ldi8AD0Vfbr5T6HZPCixNAIzaFciDy7hgnmdj9eNGedGr/JNrftQbLD1hZybX+72DpQB0tYWBhe6eDJ1oPLobZBGfMlPXh8VjeU44i7W4+s0hG0E=tsmith@publickey.example.com"
```
**importante**
Debe ser administrador de SVM o sistema de archivos para realizar esta tarea.
# Actualización de los requisitos de contraseña para los roles del sistema de archivos y la SVM
Puede actualizar los requisitos de contraseña de un sistema de archivos o un rol de SVM mediante el comando [https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description](https://docs.netapp.com/us-en/ontap-cli-9141/security-login-role-config-modify.html#description) de la CLI de ONTAP. Este comando solo está disponible para las cuentas de administrador del sistema de archivos que tengan el rol `fsxadmin`. Al modificar los requisitos de contraseña, el sistema avisará si hay algún usuario con ese rol que se vea afectado por el cambio.
En el siguiente ejemplo, se modifica el requisito de longitud mínima de la contraseña a 12 caracteres para los usuarios con el rol `vsadmin-readonly` en la SVM de `fsx`. En este ejemplo, hay usuarios con este rol.
```
FsxId0123456::> security login role config modify -role vsadmin-readonly -vserver fsx -passwd-minlength 12
```
El sistema muestra la siguiente advertencia debido a los usuarios existentes:
```
Warning: User accounts with this role exist. Modifications to the username/password restrictions on this role could result in non-compliant user
accounts.
Do you want to continue? {y|n}:
FsxId0123456::>
```
# Se produce un error al actualizar la contraseña de la cuenta `fsxadmin`
Al actualizar la contraseña del usuario `fsxadmin`, es posible que reciba un error si no cumple con los requisitos de contraseña configurados en el sistema de archivos. Puede consultar los requisitos de contraseña mediante el comando `security login role config show` de la CLI o la API de REST de ONTAP.
**Cómo ver los requisitos de contraseña de un sistema de archivos o un rol de SVM**
1. Para acceder a la ONTAP CLI, establezca una sesión SSH en el puerto de administración del sistema de archivos Amazon FSx for NetApp ONTAP o SVM ejecutando el siguiente comando. Reemplace `management_endpoint_ip` con la dirección IP del puerto de gestión del sistema de archivos.
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
Para obtener más información, consulte [Administración de sistemas de archivos con la CLI de ONTAP](managing-resources-ontap-apps.md#fsxadmin-ontap-cli).
1. El comando `security login role config show` devuelve los requisitos de contraseña para un sistema de archivos o un rol de SVM.
```
FsxId0123456::> security login role config show -role fsxadmin -fields password_requirement_fields
```
Para el parámetro `-fields`, especifique cualquiera o todo lo siguiente:
+ `passwd-minlength`: la longitud de la contraseña.
+ `passwd-min-special-chars`: el número mínimo de caracteres especiales de la contraseña.
+ `passwd-min-lowercase-chars`: el número mínimo de caracteres en minúsculas de la contraseña.
+ `passwd-min-uppercase-chars`: el número mínimo de caracteres en mayúsculas de la contraseña.
+ `passwd-min-digits`: el número mínimo de dígitos en la contraseña.
+ `passwd-alphanum`: información sobre la inclusión o exclusión de caracteres alfanuméricos.
+ `passwd-expiry-time`: fecha de caducidad de la contraseña.
+ `passwd-expiry-warn-time`: la hora de aviso de caducidad de la contraseña.
1. Ejecute el siguiente comando para ver todos los requisitos de contraseña:
```
FsxId0123456::> security login role config show -role fsxadmin -fields passwd-minlength, passwd-min-special-chars, passwd-min-lowercase-chars, passwd-min-digits, passwd-alphanum, passwd-expiry-time, passwd-expiry-warn-time, passwd-min-uppercase-chars
vserver role passwd-minlength passwd-alphanum passwd-min-special-chars passwd-expiry-time passwd-min-lowercase-chars passwd-min-uppercase-chars passwd-min-digits passwd-expiry-warn-time
---------------------- -------- ---------------- --------------- ------------------------ ------------------ -------------------------- -------------------------- ----------------- -----------------------
FsxId0123456 fsxadmin 3 enabled 0 unlimited 0 0 0 unlimited
```