Aviso de fin del soporte: el 15 de diciembre de 2025, AWS finalizará el soporte para AWS IoT Analytics. Después del 15 de diciembre de 2025, ya no podrás acceder a la AWS IoT Analytics consola ni a AWS IoT Analytics los recursos. Para obtener más información, consulta [AWS IoT Analytics el fin del soporte](https://docs.aws.amazon.com/iotanalytics/latest/userguide/iotanalytics-end-of-support.html).

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# ¿Cómo AWS IoT Analytics funciona con IAM
<a name="security_iam_service-with-iam"></a>

Antes de utilizar IAM para gestionar el acceso AWS IoT Analytics, debe comprender las funciones de IAM disponibles para su uso. AWS IoT Analytics*Para obtener una visión general de cómo funcionan con IAM AWS IoT Analytics y otros AWS servicios, consulte los [AWS servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*

**Topics**
+ [AWS IoT Analytics políticas basadas en la identidad](#iam-id-based-policies)
+ [AWS IoT Analytics políticas basadas en recursos](#iam-resource-based-policies)
+ [Autorización basada en etiquetas AWS IoT Analytics](#iam-tags)
+ [AWS IoT Analytics Funciones de IAM](#iam-roles)

## AWS IoT Analytics políticas basadas en la identidad
<a name="iam-id-based-policies"></a>

Con las políticas de IAM basadas en la identidad, puede especificar las acciones y los recursos permitidos o denegados y las condiciones en las que se permiten o deniegan las acciones. AWS IoT Analytics admite acciones, recursos y claves de condición específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.

### Acciones
<a name="id-based-policies-actions"></a>

El elemento `Action` de una política basada en identidad de IAM describe la acción o las acciones específicas que la política permitirá o denegará. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Las acciones se utilizan en una política para conceder permisos y así llevar a cabo la operación asociada.

La acción política AWS IoT Analytics utiliza el siguiente prefijo antes de la acción: `iotanalytics:` por ejemplo, para conceder a alguien permiso para crear un AWS IoT Analytics canal con la operación de la AWS IoT Analytics `CreateChannel` API, debes incluir la `iotanalytics:BatchPuMessage` acción en su política. Las declaraciones de política deben incluir un `NotAction` elemento `Action` o. AWS IoT Analytics define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.

Para especificar varias acciones de  en una única instrucción, sepárelas con comas del siguiente modo. 

```
"Action": [
    "iotanalytics:action1",
    "iotanalytics:action2"
    ]
```

Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción.

```
"Action": "iotanalytics:Describe*"
```

Para ver una lista de AWS IoT Analytics acciones, consulte [las acciones definidas AWS IoT Analytics en la](https://docs.aws.amazon.com/iotanalytics/latest/userguide/list_awsiotanalytics.html#awsiotanalytics-actions-as-permissions) *Guía del usuario de IAM*.

### Recursos
<a name="iam-id-based-policies-resources"></a>

El elemento `Resource` especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento `Resource` o `NotResource`. Especifique un recurso con un ARN o el carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.

El recurso del AWS IoT Analytics conjunto de datos tiene el siguiente ARN. 

```
arn:${Partition}:iotanalytics:${Region}:${Account}:dataset/${DatasetName}
```

Para obtener más información sobre el formato de ARNs, consulte [Nombres de recursos de Amazon (ARNs) y espacios de nombres AWS de servicios](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Por ejemplo, para especificar el conjunto de datos `Foobar` en su instrucción, utilice el siguiente ARN.

```
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/Foobar"
```

Para especificar todas las instancias que pertenecen a una cuenta específica, utilice el carácter comodín (\$1).

```
"Resource": "arn:aws:iotanalytics:us-east-1:123456789012:dataset/*"
```

Algunas AWS IoT Analytics acciones, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).

```
"Resource": "*"
```

Algunas acciones AWS IoT Analytics de la API implican varios recursos. Por ejemplo, `CreatePipeline` hace referencia tanto a un canal como a un conjunto de datos, por lo que un usuario debe tener permisos para utilizar el canal y el conjunto de datos. Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.

```
"Resource": [
    "resource1",
    "resource2"
     ]
```

Para ver una lista de los tipos de AWS IoT Analytics recursos y sus correspondientes ARNs, consulte [los recursos definidos por AWS IoT Analytics](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotanalytics.html#awsiotanalytics-resources-for-iam-policies) en la Guía del *usuario de IAM*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por  AWS IoT Analytics](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsiotanalytics.html#awsiotanalytics-actions-as-permissions).

### Claves de condición
<a name="id-based-policies-conditionkeys"></a>

El elemento `Condition` (o *bloque* de `Condition`) permite especificar condiciones en las que entra en vigor una instrucción. El elemento `Condition` es opcional. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que coincida la condición de la política con valores de la solicitud.

Si especifica varios elementos de `Condition` en una instrucción o varias claves en un único elemento de `Condition`, AWS las evalúa mediante una operación `AND` lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición con una operación lógica `OR`. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.

También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder a un usuario permiso para acceder a un recurso solo si está etiquetado con su nombre de usuario. Para obtener más información, consulte [Elementos de la política de IAM: Variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.

AWS IoT Analytics no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del usuario de *IAM*.

### Ejemplos
<a name="iam-id-based-policies-examples"></a>

Para ver ejemplos de políticas AWS IoT Analytics basadas en la identidad, consulte. [AWS IoT Analytics ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)

## AWS IoT Analytics políticas basadas en recursos
<a name="iam-resource-based-policies"></a>

AWS IoT Analytics no admite políticas basadas en recursos. Para ver un ejemplo de una página detallada de políticas basadas en recursos, consulte [Uso de políticas basadas en recursos AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) en la *Guía del desarrollador de AWS Lambda *. 

## Autorización basada en etiquetas AWS IoT Analytics
<a name="iam-tags"></a>

Puede adjuntar etiquetas a AWS IoT Analytics los recursos o pasarles etiquetas en una solicitud AWS IoT Analytics. Para controlar el acceso en función de las etiquetas, proporcione información sobre etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política mediante las claves de condición `iotanalytics:ResourceTag/{key-name}, aws:RequestTag/{key-name}` o `aws:TagKeys`. Para obtener más información sobre cómo etiquetar AWS IoT Analytics los recursos, consulta Cómo [etiquetar AWS IoT Analytics](https://docs.aws.amazon.com/iotanalytics/latest/userguide/tagging.html#aws-iot-analytics-tagging) los recursos.

Para ver un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Visualización de AWS IoT Analytics canales](https://docs.aws.amazon.com/iotanalytics/latest/userguide/security.html#security-iam-id-based-policy-examples-view-input-tags) en función de las etiquetas.

## AWS IoT Analytics Funciones de IAM
<a name="iam-roles"></a>

Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de la Cuenta de AWS que dispone de permisos específicos.

### Usar una credencial temporal con AWS IoT Analytics
<a name="iam-assume-roles"></a>

Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a AWS Security Token Service (AWS STS) operaciones de API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).

AWS IoT Analytics no admite el uso de credenciales temporales.

### Roles vinculados a servicios
<a name="iam-service-linked-roles"></a>

[Los roles relacionados con](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) el AWS servicio permiten al servicio acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.

AWS IoT Analytics no admite funciones vinculadas al servicio.

### Roles de servicio
<a name="iam-service-roles"></a>

Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.

AWS IoT Analytics admite funciones de servicio.