Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de identidades y accesos para Amazon FSx para Windows File Server
AWS Identity and Access Management (IAM) es una Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan quién puede *autenticarse* (iniciar sesión) y quién puede *autorizarse* (tener permisos) FSx para usar los recursos del servidor de archivos de Windows. La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Amazon FSx para Windows File Server con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para Amazon FSx para Windows File Server](security-iam-awsmanpol.md)
+ [Solución de problemas de identidad y acceso al servidor de archivos de Amazon FSx para Windows](security_iam_troubleshoot.md)
+ [Uso de etiquetas con Amazon FSx](using-tags-fsx.md)
+ [Uso de roles vinculados a servicios FSx para Windows File Server](using-service-linked-roles.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso al servidor de archivos de Amazon FSx para Windows](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon FSx para Windows File Server con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon FSx para Windows File Server con IAM
Antes de utilizar IAM para gestionar el acceso al FSx servidor de archivos de Windows, infórmese sobre las funciones de IAM disponibles FSx para su uso en el servidor de archivos de Windows.
**Funciones de IAM que puede utilizar con Amazon FSx for Windows File Server**
| Característica de IAM | FSx soporte |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Sesiones de acceso directo](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo FSx funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
## Políticas basadas en la identidad para FSx
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Ejemplos de políticas basadas en la identidad para FSx
Para ver ejemplos de políticas basadas en FSx la identidad del servidor de archivos de Windows, consulte. [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
## Políticas basadas en recursos dentro de FSx
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Acciones políticas para FSx
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de FSx acciones, consulte [Acciones definidas por Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions) en la *Referencia de autorización de servicios*.
Las acciones políticas FSx utilizan el siguiente prefijo antes de la acción:
```
fsx
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Para ver ejemplos de FSx políticas basadas en la identidad del servidor de archivos de Windows, consulte. [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
## Recursos de políticas para FSx
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de FSx recursos y sus ARNs respectivos tipos, consulte [Recursos definidos por Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-resources-for-iam-policies) en la *Referencia de autorización de servicios*. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas FSx por Amazon para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Para ver ejemplos de FSx políticas basadas en la identidad del servidor de archivos de Windows, consulte. [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
## Claves de condición de la política para FSx
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Para ver una lista de claves de FSx condición, consulta [Claves de condición de Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-policy-keys) en la *Referencia de autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html#your_service-actions-as-permissions).
Para ver ejemplos de FSx políticas basadas en la identidad del servidor de archivos de Windows, consulte. [Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server](security_iam_id-based-policy-examples.md)
## ACLs in FSx
**Soporta ACLs**: No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con FSx
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Utilizar credenciales temporales con FSx
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente al utilizar la federación o al cambiar de función. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Sesiones de acceso directo para FSx
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que llama Servicio de AWS, junto con la solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Funciones de servicio para FSx
**Compatible con roles de servicio:** No
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
**aviso**
Cambiar los permisos de un rol de servicio podría interrumpir FSx la funcionalidad. Edite las funciones de servicio solo cuando se FSx proporcionen instrucciones para hacerlo.
## Funciones vinculadas al servicio para FSx
**Compatible con roles vinculados al servicio:** sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre la creación o administración de funciones FSx vinculadas a un servicio de Windows File Server, consulte. [Uso de roles vinculados a servicios FSx para Windows File Server](using-service-linked-roles.md)
# Ejemplos de políticas basadas en identidad FSx para Amazon para Windows File Server
De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar FSx los recursos del servidor de archivos de Windows. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por FSx, incluido el ARNs formato de cada uno de los tipos de recursos, consulte [Acciones, recursos y claves de condición de Amazon FSx para Windows File Server](https://docs.aws.amazon.com/service-authorization/latest/reference/list_your_service.html) en la *Referencia de autorización de servicios*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola FSx](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear recursos del servidor de archivos de Windows de su FSx cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola FSx
Para acceder a la consola de Amazon FSx for Windows File Server, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos del servidor FSx de archivos de Windows que tiene en su Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para garantizar que los usuarios y los roles puedan seguir utilizando la FSx consola, adjunte también la política FSx `AmazonFSxConsoleReadOnlyAccess` AWS administrada a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS políticas gestionadas para Amazon FSx para Windows File Server
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## Amazon FSx ServiceRolePolicy
Permite FSx a Amazon gestionar AWS los recursos en tu nombre. Consulte [Uso de roles vinculados a servicios FSx para Windows File Server](using-service-linked-roles.md) para obtener más información.
## AWS política gestionada: Amazon FSx DeleteServiceLinkedRoleAccess
No puede asociar `AmazonFSxDeleteServiceLinkedRoleAccess` a sus entidades IAM. Esta política está vinculada a un servicio, y se utiliza únicamente con un rol vinculado a un servicio de dicho servicio. No puede adjuntar, separar, modificar ni eliminar esta política. Para obtener más información, consulte [Uso de roles vinculados a servicios FSx para Windows File Server](using-service-linked-roles.md).
Esta política concede permisos administrativos que permiten FSx a Amazon eliminar su función vinculada a servicios para el acceso a Amazon S3, que solo utiliza Amazon FSx for Lustre.
**Detalles de los permisos**
Esta política incluye permisos que permiten `iam` FSx a Amazon ver, eliminar y ver el estado de eliminación de las funciones vinculadas al FSx servicio para el acceso a Amazon S3.
Para ver los permisos de esta política, consulta [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx FullAccess
Puedes adjuntar Amazon FSx FullAccess a tus entidades de IAM. Amazon FSx también vincula esta política a un rol de servicio que permite FSx a Amazon realizar acciones en tu nombre.
Proporciona acceso completo a Amazon FSx y acceso a los AWS servicios relacionados.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores tener acceso total para realizar todas las FSx acciones de Amazon, excepto`BypassSnaplockEnterpriseRetention`.
+ `ds`— Permite a los directores ver información sobre los Directory Service directorios.
+ `ec2`
+ Permite que las entidades principales creen etiquetas en las condiciones especificadas.
+ Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).
+ `iam`— Permite a los principios crear un rol vinculado a los FSx servicios de Amazon en nombre del usuario. Esto es necesario para que Amazon FSx pueda gestionar AWS los recursos en nombre del usuario.
+ `firehose`: permite que las entidades principales escriban los registros en Amazon Data Firehose. Esto es necesario FSx para que los usuarios puedan supervisar el acceso al sistema de archivos de Windows File Server enviando los registros de acceso de auditoría a Firehose.
+ `logs`: permite que las entidades principales creen grupos de registros, registren flujos y escriban eventos en los flujos de registro. Esto es necesario FSx para que los usuarios puedan supervisar el acceso al sistema de archivos del servidor de archivos de Windows enviando los registros de acceso de auditoría a CloudWatch Logs.
Para ver los permisos de esta política, consulta [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx ConsoleFullAccess
Puede asociar la política `AmazonFSxConsoleFullAccess` a las identidades de IAM.
Esta política otorga permisos administrativos que permiten el acceso total a Amazon FSx y a los AWS servicios relacionados a través del Consola de administración de AWS.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores realizar todas las acciones en la consola FSx de administración de Amazon, excepto`BypassSnaplockEnterpriseRetention`.
+ `cloudwatch`— Permite a los directores ver CloudWatch las alarmas y las métricas en la consola de FSx administración de Amazon.
+ `ds`— Permite a los directores enumerar información sobre un Directory Service directorio.
+ `ec2`
+ Permite a los directores crear etiquetas en las tablas de enrutamiento, enumerar las interfaces de red, las tablas de enrutamiento, los grupos de seguridad, las subredes y la VPC asociada a un sistema de archivos de Amazon. FSx
+ Permite a las entidades principales que proporcionen una validación mejorada de grupos de seguridad de todos los que se pueden usar con una VPC.
+ Permite a los directores ver las interfaces de red elásticas asociadas a un sistema de FSx archivos de Amazon.
+ `kms`— Permite a los directores enumerar los alias de las claves. AWS Key Management Service
+ `s3`: permite que las entidades principales creen listas de algunos o todos los objetos de un bucket de Amazon S3 (hasta 1000).
+ `secretsmanager`— Permite a los directores enumerar sus secretos AWS Secrets Manager para seleccionar las credenciales de las cuentas de servicio de unión a dominios.
+ `iam`— Otorga permiso para crear un rol vinculado a un servicio que permita FSx a Amazon realizar acciones en nombre del usuario.
Para ver los permisos de esta política, consulta [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx ConsoleReadOnlyAccess
Puede asociar la política `AmazonFSxConsoleReadOnlyAccess` a las identidades de IAM.
Esta política otorga permisos de solo lectura a Amazon FSx y los AWS servicios relacionados para que los usuarios puedan ver información sobre estos servicios en el. Consola de administración de AWS
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `fsx`— Permite a los directores ver información sobre los sistemas de FSx archivos de Amazon, incluidas todas las etiquetas, en Amazon FSx Management Console.
+ `cloudwatch`— Permite a los directores ver CloudWatch las alarmas y las métricas en Amazon FSx Management Console.
+ `ds`— Permite a los directores ver información sobre un Directory Service directorio en Amazon FSx Management Console.
+ `ec2`
+ Permite a los directores ver las interfaces de red, los grupos de seguridad, las subredes y la VPC asociada a un sistema de FSx archivos de Amazon en Amazon Management Console. FSx
+ Permite a las entidades principales que proporcionen una validación mejorada de grupos de seguridad de todos los que se pueden usar con una VPC.
+ Permite a los directores ver las interfaces de red elásticas asociadas a un sistema de FSx archivos de Amazon.
+ `kms`— Permite a los directores ver los alias de las AWS Key Management Service claves en Amazon FSx Management Console.
+ `log`— Permite a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.
+ `secretsmanager`— Permite a los directores enumerar sus secretos AWS Secrets Manager para seleccionar las credenciales de las cuentas de servicio de unión a dominios.
+ `firehose`: permite que las entidades principales describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows.
Para ver los permisos de esta política, consulta [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## AWS política gestionada: Amazon FSx ReadOnlyAccess
Puede asociar la política `AmazonFSxReadOnlyAccess` a las identidades de IAM.
+ `fsx`— Permite a los directores ver información sobre los sistemas de FSx archivos de Amazon, incluidas todas las etiquetas, en Amazon FSx Management Console.
+ `ec2`: para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC.
Para ver los permisos de esta política, consulta [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) en la Guía de referencia de políticas AWS gestionadas.
## Amazon FSx actualiza las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon FSx desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbete a la fuente RSS de la FSx [Historial del documento](doc-history.md) página de Amazon.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `secretsmanager:ListSecrets` que permite a los directores enumerar los secretos AWS Secrets Manager para seleccionar las credenciales de la cuenta de servicio de unión a dominios. | 5 de noviembre de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `secretsmanager:ListSecrets` que permite a los directores enumerar los secretos AWS Secrets Manager para seleccionar las credenciales de la cuenta de servicio de unión a dominios. | 3 de noviembre de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:AssignIpv6Addresses` que permite a los directores asignar IPv6 direcciones a las interfaces de red de los clientes que tienen una `AmazonFSx.FileSystemId` etiqueta. | 22 de julio de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:UnassignIpv6Addresses` que permite a los directores anular la asignación de IPv6 direcciones de las interfaces de red de los clientes que tienen una `AmazonFSx.FileSystemId` etiqueta. | 22 de julio de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:CreateAndAttachS3AccessPoint` que permite a los directores crear un punto de acceso S3 y adjuntarlo a un FSx volumen. | 25 de junio de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DescribeS3AccessPointAttachments` que permite a los directores enumerar todos los puntos de acceso S3 de forma Cuenta de AWS individual. Región de AWS | 25 de junio de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DetachAndDeleteS3AccessPoint` que permite a los directores eliminar un punto de acceso S3. | 25 de junio de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:CreateAndAttachS3AccessPoint` que permite a los directores crear un punto de acceso S3 y adjuntarlo a un FSx volumen. | 25 de junio de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DescribeS3AccessPointAttachments` que permite a los directores enumerar todos los puntos de acceso S3 de forma Cuenta de AWS individual. Región de AWS | 25 de junio de 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `fsx:DetachAndDeleteS3AccessPoint` que permite a los directores eliminar un punto de acceso S3. | 25 de junio de 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:DescribeNetworkInterfaces` que permite a los directores ver las interfaces de red elásticas asociadas a su sistema de archivos. | 25 de febrero de 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:DescribeNetworkInterfaces` que permite a los directores ver las interfaces de red elásticas asociadas a su sistema de archivos. | 7 de febrero de 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso `ec2:GetSecurityGroupsForVpc` que permite a los directores proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC. | 9 de enero de 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación de datos entre regiones y cuentas FSx para los sistemas de archivos OpenZFS. | 20 de diciembre de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación de datos entre regiones y cuentas FSx para los sistemas de archivos OpenZFS. | 20 de diciembre de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación bajo demanda de volúmenes FSx para los sistemas de archivos OpenZFS. | 26 de noviembre de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx agregó un nuevo permiso para permitir a los usuarios realizar la replicación bajo demanda de volúmenes FSx para los sistemas de archivos OpenZFS. | 26 de noviembre de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los usuarios puedan ver, activar y desactivar el soporte de VPC compartido FSx para los sistemas de archivos Multi-AZ de ONTAP. | 14 de noviembre de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los usuarios puedan ver, activar y desactivar el soporte de VPC compartido FSx para los sistemas de archivos Multi-AZ de ONTAP. | 14 de noviembre de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos que permiten FSx a Amazon gestionar las configuraciones de red de los sistemas de FSx archivos Multi-AZ de OpenZFS. | 9 de agosto de 2023 |
| [AWS política gestionada: Amazon FSxServiceRolePolicy:](using-service-linked-roles.md#slr-permissions) actualización a una política existente | Amazon FSx modificó el `cloudwatch:PutMetricData` permiso existente para que Amazon FSx publique CloudWatch las métricas en el espacio de `AWS/FSx` nombres. | 24 de julio de 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx actualizó la política para eliminar el `fsx:*` permiso y añadir `fsx` acciones específicas. | 13 de julio de 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx actualizó la política para eliminar el `fsx:*` permiso y añadir `fsx` acciones específicas. | 13 de julio de 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los usuarios ver las métricas de rendimiento mejoradas y las acciones recomendadas FSx para los sistemas de archivos Windows File Server en la FSx consola de Amazon. | 21 de septiembre de 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los usuarios ver las métricas de rendimiento mejoradas y las acciones recomendadas FSx para los sistemas de archivos Windows File Server en la FSx consola de Amazon. | 21 de septiembre de 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess): comenzó la política de seguimiento | Esta política otorga acceso de solo lectura a todos los FSx recursos de Amazon y a las etiquetas asociadas a ellos. | 4 de febrero de 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess): comenzó la política de seguimiento | Esta política concede permisos administrativos que permiten FSx a Amazon eliminar su función vinculada a servicios para el acceso a Amazon S3. | 7 de enero de 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon pueda FSx gestionar las configuraciones de red de Amazon FSx para los sistemas de archivos NetApp ONTAP. | 2 de septiembre de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx añadió nuevos permisos para que Amazon FSx cree etiquetas en las tablas de enrutamiento de EC2 para llamadas restringidas. | 2 de septiembre de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a Amazon crear Amazon FSx FSx para los sistemas de archivos Multi-AZ de NetApp ONTAP. | 2 de septiembre de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx añadió nuevos permisos para que Amazon FSx cree etiquetas en las tablas de enrutamiento de EC2 para llamadas restringidas. | 2 de septiembre de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon FSx pueda describir y escribir en las secuencias de registro de CloudWatch Logs. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de FSx los sistemas de archivos del servidor de archivos de Windows mediante CloudWatch registros. | 8 de junio de 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que Amazon pueda FSx describir y escribir en las transmisiones de entrega de Amazon Data Firehose. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server mediante Amazon Data Firehose. | 8 de junio de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx agregó nuevos permisos para permitir a los directores describir y crear grupos de CloudWatch registros, flujos de registro y escribir eventos en flujos de registro. Esto es necesario para que los directores puedan ver los registros de auditoría de acceso a los archivos de los sistemas de FSx archivos del servidor de archivos de Windows mediante CloudWatch registros. | 8 de junio de 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los directores describir y escribir registros en una Amazon Data Firehose. Esto es necesario para que los usuarios puedan ver los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server mediante Amazon Data Firehose. | 8 de junio de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan elegir un grupo de CloudWatch registros existente al configurar la auditoría de acceso a los archivos FSx para un sistema de archivos del servidor de archivos de Windows. | 8 de junio de 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los responsables describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan elegir un flujo de entrega de Firehose existente al configurar la auditoría de acceso a los archivos para FSx un sistema de archivos para Windows File Server. | 8 de junio de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para permitir a los directores describir los grupos de CloudWatch registros de Amazon Logs asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows. | 8 de junio de 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess): actualización de una política existente | Amazon FSx ha añadido nuevos permisos para que los responsables describan los flujos de entrega de Amazon Data Firehose asociados a la cuenta que realiza la solicitud. Esto es necesario para que los directores puedan ver la configuración de auditoría de acceso a los archivos existente FSx para un sistema de archivos del servidor de archivos de Windows. | 8 de junio de 2021 |
| Amazon FSx comenzó a rastrear los cambios | Amazon FSx comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 8 de junio de 2021 |
# Solución de problemas de identidad y acceso al servidor de archivos de Amazon FSx para Windows
Utilice la siguiente información para ayudarle a diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con FSx Windows File Server e IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en FSx](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis FSx recursos](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en FSx
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `fsx:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `fsx:GetWidget`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No estoy autorizado a realizar tareas como: PassRole
Si recibe un mensaje de error que indica que no está autorizado a realizar la `iam:PassRole` acción, debe actualizar sus políticas para que pueda transferir una función al FSx servidor de archivos de Windows.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en FSx el servidor de archivos de Windows. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis FSx recursos
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si FSx Windows File Server admite estas funciones, consulte. [Cómo funciona Amazon FSx para Windows File Server con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de etiquetas con Amazon FSx
Puedes usar etiquetas para controlar el acceso a FSx los recursos de Amazon e implementar el control de acceso basado en atributos (ABAC). Los usuarios deben tener permiso para aplicar etiquetas a FSx los recursos de Amazon durante la creación.
## Conceder permisos para etiquetar recursos durante la creación
Algunas acciones de la API de creación de recursos FSx para Windows File Server permiten especificar etiquetas al crear el recurso. Puede utilizar etiquetas de recursos para implementar el control de acceso basado en atributos (ABAC). Para obtener más información, consulte [¿Qué es ABAC para AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
Para permitir que los usuarios etiqueten los recursos durante su creación, es preciso que tengan permisos para utilizar la acción que crea el recurso (por ejemplo, `fsx:CreateFileSystem` o `fsx:CreateBackup`). Si se especifican etiquetas en la acción de creación de recursos, Amazon realiza una autorización adicional en la acción `fsx:TagResource` para verificar que los usuarios tengan permisos para crear etiquetas. Por lo tanto, los usuarios también deben tener permisos explícitos para usar la acción `fsx:TagResource`.
El siguiente ejemplo muestra una política que permite a los usuarios crear sistemas de archivos y aplicar etiquetas a los sistemas de archivos durante la creación de un sistema específico. Cuenta de AWS
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*"
}
]
}
```
De la misma manera, la siguiente política permite que los usuarios creen copias de seguridad en un sistema de archivos específico, y apliquen cualquier etiqueta a la copia de seguridad durante la creación de la copia de seguridad.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
La acción `fsx:TagResource` solo se evalúa si se aplican etiquetas durante la acción de creación de recursos. Por lo tanto, un usuario que tenga permisos para crear un recurso (suponiendo que no existan condiciones de etiquetado) no necesita permisos para utilizar la acción `fsx:TagResource` si no se especifica ninguna etiqueta en la solicitud. Sin embargo, si el usuario intenta crear un recurso con etiquetas, la solicitud dará un error si el usuario no tiene permisos para utilizar la acción `fsx:TagResource`.
Para obtener más información sobre el etiquetado de FSx los recursos de Amazon, consulte[Etiquetado de recursos de Amazon FSx](tag-resources.md). Para obtener más información sobre el uso de etiquetas para controlar el acceso a FSx los recursos, consulte[Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon](#restrict-fsx-access-tags).
## Uso de etiquetas para controlar el acceso a tus FSx recursos de Amazon
Para controlar el acceso a FSx los recursos y acciones de Amazon, puedes usar políticas AWS Identity and Access Management (IAM) basadas en etiquetas. Puede proporcionar el control de dos maneras:
1. Controle el acceso a FSx los recursos de Amazon en función de las etiquetas de esos recursos.
1. Controlar las etiquetas que se pueden pasar en una condición de solicitud de IAM.
Para obtener información sobre cómo utilizar las etiquetas para controlar el acceso a AWS los recursos, consulte [Controlar el acceso mediante etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la *Guía del usuario de IAM*. Para obtener más información sobre cómo etiquetar FSx los recursos de Amazon en el momento de la creación, consulte[Conceder permisos para etiquetar recursos durante la creación](#supported-iam-actions-tagging). Para obtener más información acerca del etiquetado de recursos, consulte [Etiquetado de recursos de Amazon FSx](tag-resources.md).
### Control del acceso a un recurso en función de las etiquetas
Para controlar qué acciones puede realizar un usuario o un rol en un FSx recurso de Amazon, puedes usar etiquetas en el recurso. Por ejemplo, es posible que desee permitir o denegar acciones de la API específicas en un recurso del sistema de archivos en función del par clave-valor de la etiqueta del recurso.
**Example política: crear un sistema de archivos al proporcionar una etiqueta específica**
Esta política permite que el usuario cree un sistema de archivos solo cuando lo etiqueta con un par clave-valor específico, en este ejemplo, `key=Department, value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example política: cree copias de seguridad solo de los sistemas de FSx archivos de Amazon con una etiqueta específica**
Esta política permite que los usuarios creen copias de seguridad únicamente de los sistemas de archivos que estén etiquetados con el par clave-valor `key=Department, value=Finance`, y la copia de seguridad se creará con la etiqueta `Deparment=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example política: crear un sistema de archivos con una etiqueta específica a partir de copias de seguridad que tengan una etiqueta específica**
Esta política permite que los usuarios creen sistemas de archivos que tengan la etiqueta `Department=Finance` únicamente a partir de copias de seguridad etiquetadas con `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example política: eliminar los sistemas de archivos con etiquetas específicas**
Esta política permite que un usuario elimine únicamente los sistemas de archivos que estén etiquetados con `Department=Finance`. Si crea una copia de seguridad final, debe etiquetarla con `Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# Uso de roles vinculados a servicios FSx para Windows File Server
El servidor de archivos de Amazon FSx para Windows utiliza AWS Identity and Access Management funciones vinculadas a [servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente para Windows File Server. FSx Las funciones vinculadas al servicio están predefinidas FSx para Windows File Server e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración del servidor FSx de archivos de Windows, ya que no es necesario añadir manualmente los permisos necesarios. FSx para Windows File Server define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo FSx para Windows File Server puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus recursos del servidor FSx de archivos de Windows porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de rol vinculados a un servicio para Windows File Server FSx
FSx para Windows, el servidor de archivos utiliza el rol vinculado al servicio denominado `AWSServiceRoleForAmazonFSx` — que realiza determinadas acciones en la cuenta, como la creación de interfaces de red elásticas para los sistemas de archivos de la VPC.
La política de permisos de roles permite que FSx Windows File Server complete las siguientes acciones en todos los recursos aplicables: AWS
No puedes adjuntar Amazon FSx ServiceRolePolicy a tus entidades de IAM. Esta política está asociada a una función vinculada al servicio que permite FSx gestionar AWS los recursos en tu nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios FSx para Windows File Server](#using-service-linked-roles).
Para obtener actualizaciones de esta política, consulte [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
Esta política otorga permisos administrativos que permiten FSx administrar AWS los recursos en nombre del usuario.
**Detalles de los permisos**
Los permisos de los FSx ServiceRolePolicy roles de Amazon se definen en la política FSx ServiceRolePolicy AWS gestionada de Amazon. Amazon FSx ServiceRolePolicy tiene los siguientes permisos:
**nota**
Amazon FSx ServiceRolePolicy lo utilizan todos los tipos de sistemas de FSx archivos de Amazon; es posible que algunos de los permisos enumerados no se apliquen a FSx Windows.
+ `ds`— Permite FSx ver, autorizar y desautorizar las aplicaciones de su Directory Service directorio.
+ `ec2`— Permite FSx hacer lo siguiente:
+ Vea, cree y desasocie las interfaces de red asociadas a un sistema de FSx archivos de Amazon.
+ Vea una o más direcciones IP elásticas asociadas a un sistema de FSx archivos de Amazon.
+ Vea Amazon VPCs, los grupos de seguridad y las subredes asociados a un sistema de FSx archivos de Amazon.
+ Asigne IPv6 direcciones a las interfaces de red de los clientes que tengan una `AmazonFSx.FileSystemId` etiqueta.
+ Anule la asignación de IPv6 direcciones de las interfaces de red de los clientes que tengan una `AmazonFSx.FileSystemId` etiqueta.
+ Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).
+ Cree un permiso para que un usuario AWS autorizado realice determinadas operaciones en una interfaz de red.
+ `cloudwatch`— Permite FSx publicar puntos de datos métricos CloudWatch en el espacio de FSx nombres AWS/.
+ `route53`— Permite FSx asociar una Amazon VPC a una zona alojada privada.
+ `logs`— Permite FSx describir y escribir en los CloudWatch registros los flujos de registro. Esto permite a los usuarios enviar los registros de auditoría de acceso a los archivos de un sistema FSx de archivos del servidor de archivos de Windows a un flujo de CloudWatch registros.
+ `firehose`— Permite FSx describir y escribir en los flujos de entrega de Amazon Data Firehose. Esto permite a los usuarios publicar los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server en una transmisión de entrega de Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Todas las actualizaciones de esta política están detalladas en [Amazon FSx actualiza las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para el servidor de archivos de FSx Windows
No necesita crear manualmente un rol vinculado a servicios. Al crear un sistema de archivos en la Consola de administración de AWS CLI de IAM o la API de IAM FSx para Windows, el servidor de archivos crea automáticamente el rol vinculado al servicio.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un sistema de archivos, en el caso de Windows, FSx File Server vuelve a crear el rol vinculado al servicio.
## Edición de un rol vinculado a un servicio para FSx el servidor de archivos de Windows
FSx para Windows File Server no permite editar el rol vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Windows File Server FSx
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.
**nota**
Si el servicio FSx de servidor de archivos de Windows utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios . Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles FSx para las funciones vinculadas al servicio del servidor de archivos de Windows
FSx para Windows File Server, admite el uso de roles vinculados a un servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Regiones y puntos de conexión de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).