Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Supervisión de la seguridad de la infraestructura en AMS
Cuando se incorpora a AMS Accelerate e AWS implementa la siguiente infraestructura AWS Config básica y conjunto de reglas, AMS Accelerate utiliza estas reglas para supervisar sus cuentas.
+ **AWS Config función vinculada al servicio**: AMS Accelerate despliega la función vinculada al servicio denominada **AWSServiceRoleForConfig**, que se utiliza AWS Config para consultar el estado de otros servicios. AWS El rol **AWSServiceRoleForConfig**vinculado al servicio confía en que el servicio asuma el rol. AWS Config La política de permisos del **AWSServiceRoleForConfig**rol contiene permisos de solo lectura y solo escritura para los recursos y permisos de solo lectura AWS Config para los recursos de otros servicios compatibles. AWS Config Si ya tiene un rol configurado con AWS Config Recorder, AMS Accelerate valida que el rol existente tenga una política administrada de AWS Config adjunta. De lo contrario, AMS Accelerate reemplaza el rol por el rol vinculado al servicio. **AWSServiceRoleForConfig**
+ **AWS Config grabador y canal de entrega**: AWS Config utiliza el grabador de configuración para detectar los cambios en las configuraciones de los recursos y capturarlos como elementos de configuración. AMS Accelerate implementa el grabador de configuración en todos los servicios Regiones de AWS, con un registro continuo de todos los recursos. AMS Accelerate también crea el canal de entrega de configuraciones, un bucket de Amazon S3, que se utiliza para registrar los cambios que se producen en AWS los recursos. El grabador de configuración actualiza los estados de configuración a través del canal de entrega. La grabadora de configuración y el canal de entrega son necesarios AWS Config para que funcionen. AMS Accelerate crea la grabadora en un todo Regiones de AWS y un canal de entrega en uno solo Región de AWS. Si ya tiene una grabadora y un canal de entrega en una Región de AWS, AMS Accelerate no elimina los AWS Config recursos existentes, sino que AMS Accelerate utiliza la grabadora y el canal de entrega existentes tras comprobar que están configurados correctamente. Para obtener más información sobre cómo reducir AWS Config los costes, consulte[Reduzca AWS Config los costos en Accelerate](acc-sec-compliance.md#acc-sec-compliance-reduct-config-spend).
+ **AWS Config normas**: AMS Accelerate mantiene una biblioteca de medidas correctivas Reglas de AWS Config y correctivas para ayudarle a cumplir con los estándares del sector en materia de seguridad e integridad operativa. Reglas de AWS Config realiza un seguimiento continuo de los cambios de configuración de sus recursos registrados. Si un cambio infringe alguna de las condiciones de la regla, AMS informa de sus conclusiones y permite subsanar las infracciones de forma automática o previa solicitud, en función de la gravedad de la infracción. Reglas de AWS Config facilitar el cumplimiento de los estándares establecidos por: el Centro de Seguridad de Internet (CIS), el Marco de Seguridad en la Nube (CSF) del Instituto Nacional de Estándares y Tecnología (NIST), la Ley de Portabilidad y Responsabilidad de los Seguros de Salud (HIPAA) y el Estándar de Seguridad de Datos (DSS) de la Industria de Tarjetas de Pago (PCI).
+ **AWS Config autorización del agregador**: un agregador es un tipo de AWS Config recurso que recopila datos de AWS Config configuración y conformidad de varias cuentas y regiones. AMS Accelerate incorpora su cuenta a un agregador de configuraciones a partir del cual AMS Accelerate agrega la información de configuración de los recursos y los datos de cumplimiento de la configuración de su cuenta y genera el informe de cumplimiento. Si hay agregadores configurados en la cuenta propiedad de AMS, AMS Accelerate despliega un agregador adicional y el agregador existente no se modifica.
**nota**
El agregador Config no está configurado en sus cuentas; más bien, está configurado en cuentas propiedad de AMS y sus cuentas están incorporadas a él.
Para obtener más información, consulta: AWS Config
+ AWS Config: [¿Qué es Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ Reglas de AWS Config: [Evaluación de recursos con reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ Reglas de AWS Config: Verificación [dinámica de la conformidad: Reglas de AWS Config — Verificación dinámica de la conformidad para los recursos en la nube](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config Agregador: agregación de datos [multirregional y multicuenta](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
Para obtener información sobre los informes, consulte. [AWS Config Informe de cumplimiento de controles](acc-report-config-control-compliance.md)
# Uso de funciones vinculadas a servicios para AMS Accelerate
[AMS Accelerate utiliza roles AWS Identity and Access Management vinculados al servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio (SLR) es un tipo único de rol de IAM que está vinculado directamente a AMS Accelerate. AMS Accelerate predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros servicios en su nombre. AWS
Un rol vinculado a un servicio facilita la configuración de AMS Accelerate, ya que no es necesario añadir manualmente los permisos necesarios. AMS Accelerate define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AMS Accelerate puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios con la opción **Sí** en la columna Funciones vinculadas a servicios.** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Kit de herramientas de despliegue: función vinculada a los servicios para AMS Accelerate
AMS Accelerate utiliza el denominado rol vinculado a servicios (SLR) **AWSServiceRoleForAWSManagedServicesDeploymentToolkit**: este rol implementa la infraestructura de AMS Accelerate en las cuentas de los clientes.
**nota**
Esta política se actualizó recientemente; para obtener más información, consulte. [Acelere las actualizaciones de las funciones vinculadas al servicio](#slr-updates)
### Kit de herramientas de despliegue AMS Accelerate SLR
El rol AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `deploymenttoolkit.managedservices.amazonaws.com`
La política denominada [AWSManagedServicesDeploymentToolkitPolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DeploymentToolkitPolicy)permite a AMS Accelerate realizar acciones en los siguientes recursos:
+ `arn:aws*:s3:::ams-cdktoolkit*`
+ `arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*`
+ `arn:aws:ecr:*:*:repository/ams-cdktoolkit*`
Esta SLR concede a Amazon S3 permisos para crear y gestionar el depósito de despliegue que utiliza AMS para cargar recursos, como CloudFormation plantillas o paquetes de activos de Lambda, en la cuenta para las implementaciones de componentes. Esta SLR otorga CloudFormation permisos para implementar la CloudFormation pila que define los segmentos de implementación. Para obtener más información o descargar la política, consulte. [AWSManagedServices\$1DeploymentToolkitPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DeploymentToolkitPolicy)
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
### Creación de un kit de herramientas de despliegue SLR para AMS Accelerate
No necesita crear manualmente un rol vinculado a servicios. Cuando se incorpora a AMS en la Consola de administración de AWS, la API o la AWS API AWS CLI, AMS Accelerate crea automáticamente la función vinculada al servicio.
**importante**
Esta función vinculada al servicio puede aparecer en su cuenta si utilizaba el servicio AMS Accelerate antes del 9 de junio de 2022, cuando comenzó a ofrecer funciones vinculadas al servicio y, posteriormente, AMS Accelerate creó la función en su cuenta. AWSService RoleFor AWSManaged ServicesDeploymentToolkit Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando te incorporas a AMS, AMS Accelerate vuelve a crear el rol vinculado al servicio para ti.
### Edición de un kit de herramientas de despliegue (SLR) para AMS Accelerate
AMS Accelerate no permite editar el rol vinculado al AWSService RoleFor AWSManaged ServicesDeploymentToolkit servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
### Eliminar un kit de herramientas de despliegue (SLR) para AMS Accelerate
No es necesario eliminar el rol manualmente. AWSService RoleFor AWSManaged ServicesDeploymentToolkit Cuando te desconectas de AMS en la Consola de administración de AWS AWS CLI, la API o la AWS API, AMS Accelerate limpia los recursos y elimina automáticamente la función vinculada al servicio.
También puede utilizar la consola de IAM AWS CLI o la AWS API para eliminar manualmente el rol vinculado al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
**nota**
Si el servicio AMS Accelerate utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de AMS Accelerate utilizados por el rol AWSService RoleFor AWSManaged ServicesDeploymentToolkit vinculado al servicio**
Elimine la `ams-cdk-toolkit` pila de todas las regiones en las que estaba integrada su cuenta en AMS (puede que primero tenga que vaciar manualmente los depósitos de S3).
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Usa la consola de IAM AWS CLI, la o la AWS API para eliminar el rol vinculado al servicio. AWSService RoleFor AWSManaged ServicesDeploymentToolkit *Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la Guía del usuario de IAM.*
## El Detective controla la función vinculada al servicio para AMS Accelerate
AMS Accelerate usa el rol vinculado al servicio (SLR) denominado **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**: AWS Managed Services usa este rol vinculado al servicio para implementar el registrador de configuraciones, las reglas de configuración y los controles de S3 bucket detective.
[La siguiente política administrada se adjunta a la **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**función vinculada al servicio: \$1. AWSManagedServices\$1DetectiveControlsConfig ServiceRolePolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DetectiveControlsConfig) Para obtener actualizaciones de esta política, consulte [Acelere las actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
### Permisos para Detective Controls SLR para AMS Accelerate
El rol AWSServiceRoleForManagedServices\$1DetectiveControlsConfig vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `detectivecontrols.managedservices.amazonaws.com`
Esta función incluye la política `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS gestionada (consulte [AWS política gestionada: \$1 AWSManagedServices\$1DetectiveControlsConfig ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DetectiveControlsConfig) El servicio utiliza la función para crear y configurar AMS Detective Controls en su cuenta, lo que requiere el despliegue de recursos como depósitos s3, reglas de configuración y un agregador). Debe configurar los permisos para permitir que una entidad de IAM (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la Guía del usuario de *AWS Identity and Access Management*.
### Creación de una cámara réflex de control de detectives para AMS Accelerate
No necesita crear manualmente un rol vinculado a servicios. Cuando te incorporas a AMS en la Consola de administración de AWS, la AWS CLI API o la AWS API, AMS Accelerate crea automáticamente la función vinculada al servicio.
**importante**
Esta función vinculada al servicio puede aparecer en su cuenta si utilizaba el servicio AMS Accelerate antes del 9 de junio de 2022, cuando comenzó a ofrecer funciones vinculadas al servicio y, posteriormente, AMS Accelerate creó la función en su cuenta. AWSServiceRoleForManagedServices\$1DetectiveControlsConfig Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando te incorporas a AMS, AMS Accelerate vuelve a crear el rol vinculado al servicio para ti.
### Edición de una cámara réflex de control de detectives para AMS Accelerate
AMS Accelerate no permite editar el rol vinculado al AWSServiceRoleForManagedServices\$1DetectiveControlsConfig servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [ Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
### Eliminar una cámara réflex de control de detectives para AMS Accelerate
No es necesario eliminar el AWSServiceRoleForManagedServices\$1DetectiveControlsConfig rol manualmente. Cuando te desconectas de AMS en la Consola de administración de AWS AWS CLI, la API o la AWS API, AMS Accelerate limpia los recursos y elimina automáticamente la función vinculada al servicio.
También puede utilizar la consola de IAM AWS CLI o la AWS API para eliminar manualmente el rol vinculado al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
**nota**
Si el servicio AMS Accelerate utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de AMS Accelerate utilizados por el rol AWSServiceRoleForManagedServices\$1DetectiveControlsConfig vinculado al servicio**
Elimine `ams-detective-controls-config-recorder` `ams-detective-controls-config-rules-cdk` y `ams-detective-controls-infrastructure-cdk` acumule elementos de todas las regiones en las que estaba integrada su cuenta en AMS (puede que primero tenga que vaciar manualmente los depósitos de S3).
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. AWSServiceRoleForManagedServices\$1DetectiveControlsConfig Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Amazon regula EventBridge la función vinculada al servicio para AMS Accelerate
AMS Accelerate utiliza el rol vinculado al servicio (SLR) denominado. **AWSServiceRoleForManagedServices\$1Events** Esta función confía en uno de los directores del servicio AWS Managed Services (events.managedservices.amazonaws.com) para que asuma la función por usted. El servicio usa el rol para crear una regla EventBridge gestionada por Amazon. Esta regla es la infraestructura necesaria en su cuenta de AWS para enviar la información sobre el cambio de estado de alarma de su cuenta a AWS Managed Services.
### Permisos de EventBridge SLR para AMS Accelerate
El rol AWSServiceRoleForManagedServices\$1Events vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `events.managedservices.amazonaws.com`
Esta función incluye la política `AWSManagedServices_EventsServiceRolePolicy` AWS gestionada (consulte[AWS política gestionada: AWSManagedServices\$1EventsServiceRolePolicy](security-iam-awsmanpol.md#EventsServiceRolePolicy)). El servicio utiliza la función para enviar información sobre los cambios en el estado de alarma de su cuenta a AMS. Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de AWS Identity and Access Management *.
Puede descargar el JSON AWSManagedServices\$1EventsServiceRolePolicy en este ZIP: [EventsServiceRolePolicy.zip.](samples/EventsServiceRolePolicy.zip)
### Creación de una cámara EventBridge réflex para AMS Accelerate
No necesita crear manualmente un rol vinculado a servicios. Cuando te incorporas a AMS en la Consola de administración de AWS, la AWS CLI API o la AWS API, AMS Accelerate crea automáticamente la función vinculada al servicio.
**importante**
Esta función vinculada al servicio puede aparecer en su cuenta si utilizaba el servicio AMS Accelerate antes del 7 de febrero de 2023, cuando comenzó a ofrecer funciones vinculadas al servicio y, posteriormente, AMS Accelerate creó la función en su cuenta. AWSServiceRoleForManagedServices\$1Events Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando te incorporas a AMS, AMS Accelerate vuelve a crear el rol vinculado al servicio para ti.
### Edición de una cámara EventBridge réflex para AMS Accelerate
AMS Accelerate no permite editar el rol vinculado al AWSServiceRoleForManagedServices\$1Events servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
### Eliminar una cámara EventBridge réflex para AMS Accelerate
No es necesario eliminar el AWSServiceRoleForManagedServices\$1Events rol manualmente. Cuando te desconectas de AMS en la Consola de administración de AWS AWS CLI, la API o la AWS API, AMS Accelerate limpia los recursos y elimina automáticamente la función vinculada al servicio.
También puede utilizar la consola de IAM AWS CLI o la AWS API para eliminar manualmente el rol vinculado al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
**nota**
Si el servicio AMS Accelerate utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de AMS Accelerate utilizados por el rol AWSServiceRoleForManagedServices\$1Events vinculado al servicio**
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForManagedServices\$1Events servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Contacta con el rol vinculado al servicio para AMS Accelerate
AMS Accelerate utiliza la función vinculada al servicio (SLR) denominada **AWSServiceRoleForManagedServices\$1Contacts**: esta función facilita las notificaciones automáticas cuando se producen incidentes, ya que permite al servicio leer las etiquetas existentes del recurso afectado y recuperar el correo electrónico configurado del punto de contacto correspondiente.
Este es el único servicio que utiliza este rol vinculado al servicio.
Adjunta a la función **AWSServiceRoleForManagedServices\$1Contacts**vinculada al servicio se encuentra la siguiente política administrada:. [AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.html#ContactsServiceManagedPolicy) Para obtener actualizaciones de esta política, consulte [Acelere las actualizaciones de las políticas AWS gestionadas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
### Permisos para Contacts SLR para AMS Accelerate
El rol AWSServiceRoleForManagedServices\$1Contacts vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `contacts-service.managedservices.amazonaws.com`
Esta función incluye la política gestionada de `AWSManagedServices_ContactsServiceRolePolicy` AWS (consulte[AWS política gestionada: AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.md#ContactsServiceManagedPolicy)). El servicio utiliza la función para leer las etiquetas de cualquier AWS recurso y encontrar el correo electrónico contenido en la etiqueta, del punto de contacto adecuado para cuando se produzcan incidentes. Esta función facilita las notificaciones automáticas cuando se producen incidentes, ya que permite a AMS leer esa etiqueta en un recurso afectado y recuperar el correo electrónico. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la Guía del usuario de *AWS Identity and Access Management*.
**importante**
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. AMS utiliza etiquetas para proporcionarle servicios de administración. Las etiquetas no se han diseñado para usarse con información privada o confidencial.
La política de permisos de roles denominada AWSManagedServices\$1ContactsServiceRolePolicy permite a AMS Accelerate realizar las siguientes acciones en los recursos especificados:
+ Acción: permite que el servicio de contactos lea las etiquetas configuradas específicamente para contener el correo electrónico para que AMS envíe notificaciones de incidentes a cualquier recurso de AWS.
Puede descargar el JSON AWSManagedServices\$1ContactsServiceRolePolicy en este ZIP: [ContactsServicePolicy.zip.](samples/ContactsServicePolicy.zip)
### Creación de una cámara réflex de contactos para AMS Accelerate
No necesita crear manualmente un rol vinculado a servicios. Cuando te incorporas a AMS en la Consola de administración de AWS, la AWS CLI API o la AWS API, AMS Accelerate crea automáticamente la función vinculada al servicio.
**importante**
Esta función vinculada al servicio puede aparecer en su cuenta si utilizaba el servicio AMS Accelerate antes del 16 de febrero de 2023, cuando comenzó a ofrecer funciones vinculadas al servicio y, posteriormente, AMS Accelerate creó la función en su cuenta. AWSServiceRoleForManagedServices\$1Contacts Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando te incorporas a AMS, AMS Accelerate vuelve a crear el rol vinculado al servicio para ti.
### Edición de una cámara réflex de contactos para AMS Accelerate
AMS Accelerate no permite editar el rol vinculado al AWSServiceRoleForManagedServices\$1Contacts servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
### Eliminar una cámara réflex de contactos para AMS Accelerate
No es necesario que elimines el AWSServiceRoleForManagedServices\$1Contacts rol manualmente. Cuando te desconectas de AMS en la Consola de administración de AWS AWS CLI, la API o la AWS API, AMS Accelerate limpia los recursos y elimina automáticamente la función vinculada al servicio.
También puede utilizar la consola de IAM AWS CLI o la AWS API para eliminar manualmente el rol vinculado al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al servicio para poder eliminarlo después manualmente.
**nota**
Si el servicio AMS Accelerate utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de AMS Accelerate utilizados por el rol AWSServiceRoleForManagedServices\$1Contacts vinculado al servicio**
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForManagedServices\$1Contacts servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con las funciones vinculadas al servicio de AMS Accelerate
AMS Accelerate admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte [Puntos de enlace y regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
## Acelere las actualizaciones de las funciones vinculadas al servicio
Consulte los detalles sobre las actualizaciones de las funciones vinculadas al servicio de Accelerate desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página Accelerate[Historial de documentos de la Guía del usuario de AMS Accelerate](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Política actualizada: kit de [herramientas de implementación](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 4 de abril de 2024 |
| Política actualizada: kit de [herramientas de implementación](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 9 de mayo de 2023 |
| Política actualizada — [Detective Controls](#slr-deploy-detect-controls) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 10 de abril de 2023 |
| Política actualizada — [Detective Controls](#slr-deploy-detect-controls) | Se actualizó la política y se agregó la política de límites de permisos. | 21 de marzo de 2023 |
| [Nueva función vinculada al servicio: Contacts SLR](#slr-contacts-service) | Accelerate agregó un nuevo rol vinculado al servicio para el servicio de contactos. Esta función facilita las notificaciones automáticas cuando se producen incidentes, ya que permite al servicio leer las etiquetas existentes del recurso afectado y recuperar el correo electrónico configurado del punto de contacto correspondiente. | 16 de febrero de 2023 |
| Nueva función vinculada al servicio: [EventBridge](#slr-evb-rule) | Accelerate agregó un nuevo rol vinculado a un servicio para una regla de Amazon EventBridge . Esta función confía en uno de los directores del servicio AWS Managed Services (events.managedservices.amazonaws.com) para que asuma la función por usted. El servicio usa el rol para crear una regla EventBridge gestionada por Amazon. Esta regla es la infraestructura necesaria en su cuenta de AWS para enviar la información sobre el cambio de estado de alarma de su cuenta a AWS Managed Services. | 7 de febrero de 2023 |
| [Función vinculada al servicio actualizada: kit de herramientas de implementación](#slr-deploy-acc) | Accelerate se actualiza AWSService RoleFor AWSManaged ServicesDeploymentToolkit con los nuevos permisos de S3. Se agregaron estos nuevos permisos: "s3:GetLifecycleConfiguration",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:GetObject*"
| 30 de enero de 2023 |
| Accelerate comenzó a rastrear los cambios | Accelerate comenzó a realizar un seguimiento de los cambios en sus funciones vinculadas al servicio. | 30 de noviembre de 2022 |
| [Nueva función vinculada al servicio: Detective Controls](#slr-deploy-detect-controls) | Accelerate agregó una nueva función vinculada al servicio para implementar los controles de detección de Accelerate. AWS Managed Services utiliza esta función vinculada a un servicio para implementar controles de registro de configuración, reglas de configuración y detección de cubos de S3. | 13 de octubre de 2022 |
| [Nuevo rol vinculado a los servicios: kit de herramientas de implementación](#slr-deploy-acc) | Accelerate agregó una nueva función vinculada al servicio para implementar la infraestructura de Accelerate. esta función implementa la infraestructura AMS Accelerate en las cuentas de los clientes. | 9 de junio de 2022 |
# AWS políticas gestionadas para AMS Accelerate
Una política AWS gestionada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Para ver una tabla de cambios, consulte[Acelere las actualizaciones de las políticas AWS gestionadas](#security-iam-awsmanpol-updates).
## AWS política gestionada: AWSManagedServices\$1AlarmManagerPermissionsBoundary
AWS Managed Services (AMS) usa la política `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS administrada. Esta política AWS gestionada se utiliza en AWSManagedServices\$1AlarmManager \$1 ServiceRolePolicy para restringir los permisos de las funciones de IAM creadas por. AWSServiceRoleForManagedServices\$1AlarmManager
Esta política otorga a las funciones de IAM creadas como parte de ellas [Cómo funciona Alarm Manager](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) permisos para realizar operaciones como la evaluación de AWS Config, la configuración de AWS Config read to fetch Alarm Manager y la creación de las alarmas de Amazon CloudWatch necesarias.
La `AWSManagedServices_AlarmManagerPermissionsBoundary` política está asociada a la función vinculada al `AWSServiceRoleForManagedServices_DetectiveControlsConfig` servicio. Para ver las actualizaciones de este rol, consulte. [Acelere las actualizaciones de las funciones vinculadas al servicio](using-service-linked-roles.md#slr-updates)
Puede adjuntar esta política a sus identidades de IAM.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `AWS Config`— Permite permisos para evaluar las reglas de configuración y seleccionar la configuración de los recursos.
+ `AWS AppConfig`— Permite permisos para recuperar la AlarmManager configuración.
+ `Amazon S3`— Permite permisos para operar AlarmManager depósitos y objetos.
+ `Amazon CloudWatch`— Permite permisos para leer y colocar las alarmas y métricas AlarmManager gestionadas.
+ `AWS Resource Groups and Tags`— Permite permisos para leer las etiquetas de los recursos.
+ `Amazon EC2`— Permite permisos para leer los EC2 recursos de Amazon.
+ `Amazon Redshift`— Permite permisos para leer instancias y clústeres de Redshift.
+ `Amazon FSx`— Permite permisos para describir los sistemas de archivos, los volúmenes y las etiquetas de recursos.
+ `Amazon CloudWatch Synthetics`— Permite permisos para leer los recursos de Synthetics.
+ `Amazon Elastic Kubernetes Service`— Permite permisos para describir el clúster de Amazon EKS.
+ `Amazon ElastiCache`— Permite permisos para describir los recursos.
Puede descargar el archivo de la política en este ZIP: [RecommendedPermissionBoundary.zip.](samples/RecommendedPermissionBoundary.zip)
## AWS política gestionada: \$1 AWSManagedServices\$1DetectiveControlsConfig ServiceRolePolicy
AWS Managed Services (AMS) usa la política `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS administrada. Esta política AWS gestionada está asociada a la [función `AWSServiceRoleForManagedServices_DetectiveControlsConfig` vinculada al servicio](using-service-linked-roles.html#slr-deploy-detect-controls) (consulte). [El Detective controla la función vinculada al servicio para AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls) Para ver las actualizaciones de la función vinculada al `AWSServiceRoleForManagedServices_DetectiveControlsConfig` servicio, consulte. [Acelere las actualizaciones de las funciones vinculadas al servicio](using-service-linked-roles.md#slr-updates)
La política permite al rol vinculado al servicio completar acciones en su lugar.
Puede adjuntar la ServiceRolePolicy política AWSManagedServices\$1DetectiveControlsConfig \$1 a sus entidades de IAM.
Para obtener más información, consulte [Uso de funciones vinculadas a servicios para AMS Accelerate](using-service-linked-roles.md).
**Detalles de los permisos**
Esta política tiene los siguientes permisos para permitir a AWS Managed Services Detective Controls implementar y configurar todos los recursos necesarios.
+ `CloudFormation`— Permite a AMS Detective Controls desplegar CloudFormation pilas con recursos como depósitos s3, reglas de configuración y grabador de configuración.
+ `AWS Config`— Permite a AMS Detective Controls crear reglas de configuración de AMS, configurar un agregador y etiquetar recursos.
+ `Amazon S3`— permite a AMS Detective Controls gestionar sus depósitos s3.
Puede descargar el archivo de política JSON en este ZIP: [DetectiveControlsConfig\$1 ServiceRolePolicy .zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip).
## AWS política gestionada: AWSManaged ServicesDeploymentToolkitPolicy
AWS Managed Services (AMS) usa la política `AWSManagedServicesDeploymentToolkitPolicy` AWS administrada. Esta política AWS gestionada está asociada a la [función `AWSServiceRoleForAWSManagedServicesDeploymentToolkit` vinculada al servicio](using-service-linked-roles.html#slr-deploy-acc) (consulte). [Kit de herramientas de despliegue: función vinculada a los servicios para AMS Accelerate](using-service-linked-roles.md#slr-deploy-acc) La política permite al rol vinculado al servicio completar acciones en su lugar. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte [Uso de funciones vinculadas a servicios para AMS Accelerate](using-service-linked-roles.md).
Para ver las actualizaciones de la función vinculada al `AWSServiceRoleForManagedServicesDeploymentToolkitPolicy` servicio, consulte. [Acelere las actualizaciones de las funciones vinculadas al servicio](using-service-linked-roles.md#slr-updates)
**Detalles de los permisos**
Esta política tiene los siguientes permisos para permitir a AWS Managed Services Detective Controls implementar y configurar todos los recursos necesarios.
+ `CloudFormation`— Permite que AMS Deployment Toolkit despliegue pilas de CFN con los recursos de S3 que necesita el CDK.
+ `Amazon S3`— permite a AMS Deployment Toolkit gestionar sus depósitos de S3.
+ `Elastic Container Registry`— permite a AMS Deployment Toolkit gestionar su repositorio de ECR, que se utiliza para implementar los activos que necesitan las aplicaciones CDK de AMS.
[Puede descargar el archivo de políticas JSON en este ZIP: .zip. AWSManaged ServicesDeploymentToolkitPolicy](samples/AWSManagedServices_DeploymentToolkitPolicy.zip)
## AWS política gestionada: AWSManagedServices\$1EventsServiceRolePolicy
AWS Managed Services (AMS) usa la política administrada de `AWSManagedServices_EventsServiceRolePolicy` AWS. Esta política AWS gestionada está asociada a la función vinculada al [`AWSServiceRoleForManagedServices_Events`servicio](using-service-linked-roles.html#slr-evb-rule). La política permite al rol vinculado al servicio completar acciones en su lugar. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte [Uso de funciones vinculadas a servicios para AMS Accelerate](using-service-linked-roles.md).
Para ver las actualizaciones de la función vinculada al `AWSServiceRoleForManagedServices_Events` servicio, consulte. [Acelere las actualizaciones de las funciones vinculadas al servicio](using-service-linked-roles.md#slr-updates)
**Detalles de los permisos**
Esta política tiene los siguientes permisos para permitir EventBridge a Amazon enviar información sobre cambios de estado de alarma desde su cuenta a AWS Managed Services.
+ `events`— Permite a Accelerate crear una regla EventBridge gestionada por Amazon. Esta regla es la infraestructura que necesita Cuenta de AWS para enviar información sobre los cambios de estado de alarma desde su cuenta a AWS Managed Services.
Puede descargar el archivo de política JSON en este ZIP: [EventsServiceRolePolicy.zip.](samples/EventsServiceRolePolicy.zip)
## AWS política gestionada: AWSManagedServices\$1ContactsServiceRolePolicy
AWS Managed Services (AMS) usa la política administrada de `AWSManagedServices_ContactsServiceRolePolicy` AWS. Esta política AWS gestionada está asociada a la [función `AWSServiceRoleForManagedServices_Contacts` vinculada al servicio](using-service-linked-roles.html#slr-contacts-service) (consulte). [Creación de una cámara réflex de contactos para AMS Accelerate](using-service-linked-roles.md#slr-contacts-service-create) La política permite a AMS Contacts SLR analizar las etiquetas de sus recursos y sus valores en los recursos de AWS. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte [Uso de funciones vinculadas a servicios para AMS Accelerate](using-service-linked-roles.md).
**importante**
No almacene información de identificación personal (PII) ni otra información confidencial en las etiquetas. AMS utiliza etiquetas para proporcionarle servicios de administración. Las etiquetas no se han diseñado para usarse con información privada o confidencial.
Para obtener información actualizada sobre la función `AWSServiceRoleForManagedServices_Contacts` vinculada al servicio, consulte. [Acelere las actualizaciones de las funciones vinculadas al servicio](using-service-linked-roles.md#slr-updates)
**Detalles de los permisos**
Esta política tiene los siguientes permisos para permitir que la SLR de Contactos lea las etiquetas de los recursos para recuperar la información de contacto del recurso que haya configurado con antelación.
+ `IAM`— Permite que el servicio de contactos consulte las etiquetas de los roles y usuarios de IAM.
+ `Amazon EC2`— Permite que el servicio de contactos consulte las etiquetas de EC2 los recursos de Amazon.
+ `Amazon S3`— Permite a Contacts Service ver las etiquetas de los buckets de Amazon S3. Esta acción utiliza una condición para garantizar que AMS acceda a sus etiquetas de bucket mediante el encabezado de autorización HTTP, el protocolo de firma SigV4 y el uso de HTTPS con TLS 1.2 o superior. Para obtener más información, consulte [Métodos de autenticación](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro) y [Claves de política específicas de autenticación de Amazon S3 Signature versión 4](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html).
+ `Tag`— Permite que el servicio de contactos consulte las etiquetas de otros AWS recursos.
+ «iam: ListRoleTags «, «iam: ListUserTags «, «tag: GetResources «, «tag: «, GetTagKeys «tag: «, GetTagValues «ec2: «, DescribeTags «s3:» GetBucketTagging
[Puede descargar el archivo de política JSON en este ZIP: .zip. ContactsServicePolicy](samples/ContactsServicePolicy.zip)
## Acelere las actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Accelerate desde que este servicio comenzó a realizar el seguimiento de estos cambios.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Política actualizada: kit de [herramientas de implementación](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 4 de abril de 2024 |
| Política actualizada: kit de [herramientas de implementación](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 9 de mayo de 2023 |
| Política actualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 10 de abril de 2023 |
| Política actualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | La `ListAttachedRolePolicies` acción se elimina de la política. La acción tenía el recurso como comodín (\$1). Como «enumerar» es una acción no mutante, se le da acceso a todos los recursos y no se permite el comodín. | 28 de marzo de 2023 |
| Política actualizada — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Se actualizó la política y se agregó la política de límites de permisos. | 21 de marzo de 2023 |
| Nueva política: [servicio de contactos](#ContactsServiceManagedPolicy) | Accelerate agregó una nueva política para ver la información de contacto de su cuenta en las etiquetas de sus recursos. Accelerate agregó una nueva política para leer las etiquetas de sus recursos, de modo que pueda recuperar con antelación la información de contacto del recurso que haya configurado. | 16 de febrero de 2023 |
| Nueva política: [Events Service](#EventsServiceRolePolicy) | Accelerate agregó una nueva política para enviar información sobre los cambios de estado de alarma de su cuenta a AWS Managed Services. Otorga funciones de IAM creadas como parte de [Cómo funciona Alarm Manager](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) los permisos para crear una regla EventBridge gestionada por Amazon obligatoria. | 7 de febrero de 2023 |
| Política actualizada: kit de [herramientas de implementación](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Se agregaron permisos de S3 para facilitar la desvinculación de los clientes de Accelerate. | 30 de enero de 2023 |
| Nueva política — [Detective Controls](#security-iam-awsmanpol-DetectiveControlsConfig) | Permite que el rol vinculado al servicio complete acciones para que usted despliegue los controles de Accelerate Detective. [El Detective controla la función vinculada al servicio para AMS Accelerate](using-service-linked-roles.md#slr-deploy-detect-controls) | 19 de diciembre de 2022 |
| [Nueva política: Alarm Manager](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary) | Accelerate agregó una nueva política para permitir permisos para realizar tareas de administración de alarmas. Otorga funciones de IAM creadas como parte de [Cómo funciona Alarm Manager](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) los permisos para realizar operaciones como la evaluación de AWS Config, la configuración de AWS Config read to fetch alarm manager o la creación de las alarmas de Amazon CloudWatch necesarias. | 30 de noviembre de 2022 |
| Acelera y comienza a rastrear los cambios | Accelerate comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 30 de noviembre de 2022 |
| Nueva política: kit de [herramientas de implementación](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Accelerate agregó esta política para las tareas de implementación. Otorga al rol vinculado al servicio [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc)permisos para acceder a los buckets y pilas de Amazon S3 relacionados con la implementación y actualizarlos. CloudFormation | 9 de junio de 2022 |