

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Implementación de recursos de IAM en AMS Advanced
<a name="deploy-iam-resources"></a>

AMS despliega los recursos de IAM en su aplicación de zona de aterrizaje multicuenta (MALZ) y en sus cuentas de zona de aterrizaje de cuenta única (SALZ) de dos maneras:
+ Aprovisionamiento automatizado de IAM: esta función de AMS le permite enviar, crear, actualizar o eliminar tipos de cambios para el aprovisionamiento de funciones o políticas de IAM, sin necesidad de que el operador los revise y, con IAM y AMS, las comprobaciones de validación se ejecutan automáticamente.

  Esta capacidad debe estar habilitada de forma explícita con la opción Gestión \$1 Cuenta gestionada \$1 AMS Aprovisionamiento automatizado de IAM con permisos de lectura y escritura \$1 [Habilitar (automatización gestionada) el tipo de cambio (](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html)ct-1706xvvk6j9hf). Para obtener más información, consulte [Aprovisionamiento automatizado de IAM (AMS)](auto-iam-provisioning.md). Una vez activado el aprovisionamiento automatizado de IAM por AMS, tendrá acceso a los tipos de cambios de creación, actualización y eliminación para gestionar sus recursos de IAM.
+ tipo de cambio de IAM de automatización gestionada: este tipo de cambio, Deployment \$1 Advanced stack components \$1 Identity and Access Management (IAM) \$1 [Crear entidad o política (automatización gestionada) (ct-3dpd8mdd9jn1r)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html), requiere una revisión por parte del operador de AMS, que a veces puede tardar unos días en completarse si se necesitan aclaraciones.

**nota**  
Sea cual sea el método que se utilice, se aprovisiona un rol de IAM a la cuenta o cuentas correspondientes y, una vez aprovisionado el rol, debe incorporarlo a su solución de federación.

# Aprovisionamiento automatizado de IAM (AMS)
<a name="auto-iam-provisioning"></a>

AWS Managed Services (AMS) admite la validación y el aprovisionamiento automatizados de los recursos de IAM, incluidas las funciones y las políticas, mediante las solicitudes de cambio avanzadas (RFCs) y los nuevos tipos de cambio () de AMS. CTs Anteriormente, estas solicitudes se sometían a un proceso semiautomatizado que, en ocasiones, provocaba largos tiempos de espera. Ahora, puede utilizar el aprovisionamiento automatizado de IAM por AMS para aprovisionar los recursos de IAM y obtener los resultados con mucha más rapidez.

# Cómo funciona el aprovisionamiento automatizado de IAM en AMS
<a name="aip-how-works"></a>

El aprovisionamiento automatizado de IAM se basa en comprobaciones automatizadas de IAM en tiempo de ejecución para validar los cambios en los recursos de IAM. Estas comprobaciones automatizadas, que se realizan cuando se ejecutan los tipos de cambios de creación, actualización o eliminación, evitan que los recursos de IAM que son demasiado permisivos o tienen patrones inseguros se desplieguen en su cuenta. Esto le permite ajustar el nivel de rigor de las revisiones de IAM a la experiencia de su equipo. Recomendamos que los equipos que son nuevos en los servicios en la nube y necesitan comprobar manualmente todos los cambios en los recursos de IAM utilicen el tipo de cambio existente que requiere revisión: Implementación \$1 Componentes de pila avanzados \$1 Identity and Access Management (IAM) [\$1 Crear entidad o política (automatización gestionada), (](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-review-required.html)ct-3dpd8mdd9jn1r). Los equipos con AWS experiencia y control de sus entornos pueden utilizar el aprovisionamiento automatizado de IAM para acelerar sus despliegues. Puede utilizar esta función para realizar la validación mediante comprobaciones automatizadas en tiempo de ejecución o para realizar la validación y el aprovisionamiento de los recursos de IAM una vez que la validación se haya realizado correctamente.

**importante**  
AWS Managed Services ha implementado de forma proactiva una lista de [comprobaciones del tiempo de ejecución](aip-runtime-checks.md) de la validación que impiden la creación de recursos o políticas de IAM con determinados permisos y condiciones. Para obtener una descripción de estos privilegios y condiciones, consulte [Implementación de recursos de IAM en](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html) AMS Advanced. Los tipos de cambio automatizados [ct-1n9gfnog5x7fl, ct-1e0xmuy1difq](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html) [y [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) permiten a los usuarios que dominan la administración de los recursos de IAM aprovisionar](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) funciones y políticas de IAM que permiten realizar acciones más allá de los privilegios de solo lectura.  
Además, puede usar las funciones creadas mediante los tipos de cambio automatizados [ct-1n9gfnog5x7fl](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html), [ct-1e0xmuy1diafq](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) y [ct-17cj84y7632o6](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html) para crear los nuevos recursos. Sin embargo, los recursos no pueden seguir el estándar de nomenclatura de AMS y no forman parte de la pila de AMS estándar. AMS proporciona el apoyo operativo y de seguridad de esos recursos específicos haciendo todo lo posible.  
Si bien tanto los procesos manuales como los automatizados tienen como objetivo mantener nuestros estándares de seguridad, es importante tener en cuenta que existen diferencias en los controles entre ambos. El aprovisionamiento automatizado permite una mayor flexibilidad a la hora de crear y actualizar funciones y políticas; por lo tanto, no son lo mismo. Se recomienda que su organización revise detenidamente las [comprobaciones del tiempo de ejecución](aip-runtime-checks.md) de las validaciones que se indican en la Guía del usuario de AMS para asegurarse de que se ajustan a las expectativas y los requisitos de la organización.

**Flujo de validación**

![\[Flujo de validación\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/Validation-Flow.png)


**Flujo de validación y aprovisionamiento**

![\[Flujo de validación y aprovisionamiento\]](http://docs.aws.amazon.com/es_es/managedservices/latest/userguide/images/Validation-and-Provisioning-Flow.png)


**nota**  
Esta función es adecuada para los equipos que tienen experiencia con AWS los recursos de IAM y no la recomendamos para los equipos que son nuevos en ellos. AWS El proceso de validación automática está diseñado para atrapar la mayoría de los errores y es útil para que los equipos revisen rápidamente los cambios en la IAM, cuando entienden los permisos que necesitan. Para utilizar los nuevos tipos de cambios de forma segura y eficaz, te recomendamos que conozcas bien la AWS IAM y las [comprobaciones en tiempo de ejecución](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks.html) que ofrecen los tipos de cambio para determinar si son adecuados para tu equipo. 

# Incorporación al aprovisionamiento automatizado de IAM en AMS
<a name="aip-onboarding"></a>

[Para utilizar los nuevos tipos de cambio, active primero el aprovisionamiento automatizado de IAM por AMS enviando una RFC con el siguiente tipo de cambio: Administración \$1 Cuenta gestionada \$1 Aprovisionamiento automatizado de IAM por AMS con permisos de lectura y escritura \$1 Habilitar (automatización gestionada) (ct-1706xvvk6j9hf).](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html) AWS requiere que su organización pase por un proceso de gestión de riesgos de seguridad del cliente (CSRM) para garantizar que el uso de estos tipos de cambios esté alineado con las políticas de su organización. El equipo de AWS operaciones trabaja con usted para obtener la aprobación explícita de su contacto del equipo de seguridad en forma de aceptación del riesgo como parte de la revisión requerida. Para obtener más información, consulte el proceso de [gestión de riesgos para clientes (CSRM) de la RFC](https://docs.aws.amazon.com/managedservices/latest/userguide/rfc-security.html).

Una vez finalizada la solicitud de confirmación para activar la función de aprovisionamiento automatizado de IAM con permisos de lectura-escritura, AMS habilita el aprovisionamiento automatizado de IAM por AMS para cambiar los tipos de cambio en la cuenta utilizada para enviar la RFC de activación. Para confirmar que una cuenta tiene activado el aprovisionamiento automatizado de IAM por AMS, compruebe la función en la consola de IAM. `AWSManagedServicesIAMProvisionAdminRole`

Como parte de la incorporación, AMS aprovisiona IAM Access Analyzer en la misma región de AWS de la cuenta para aprovechar su capacidad de vista previa del acceso. IAM Access Analyzer ayuda a identificar los recursos de su organización y las cuentas que se comparten con una entidad externa, valida las políticas de IAM comparándolas con la gramática de las políticas y las mejores prácticas, y genera políticas de IAM en función de la actividad de acceso de sus registros. AWS CloudTrail [Para obtener más información, consulte Uso. AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)

Una vez incorporado, `AWSManagedServicesIAMProvisionAdminRole` se implementa en las cuentas habilitadas. Si decide utilizar este rol a través de la federación SAML, debe incorporar el rol a su solución de federación. 

Como parte de la incorporación, puede solicitar la actualización de la política IAMProvision AdminRole de confianza de AWSManaged los Servicios para conceder otro ARN de rol de IAM con el que pueda asumir este rol. AWS Security Token Service

# Uso del aprovisionamiento automatizado de IAM de AMS en AMS
<a name="aip-using"></a>

Puede crear RFCs con los siguientes tipos de cambios en el aprovisionamiento automatizado de IAM de AMS.

**nota**  
Solo se admite el aprovisionamiento de funciones y políticas.  
Al actualizar las funciones, la actualización CT sustituye la lista existente de nombres de recursos de Amazon para políticas gestionadas y el documento de política «asumir una función», por la lista proporcionada de políticas gestionadas ARNs y el documento de política «asumir funciones». ARNs En una actualización parcial, por ejemplo, no se permite agregar o eliminar un ARN de la lista existente de políticas administradas ARNs, ni agregar o eliminar declaraciones de políticas individuales al documento de política de «asumir funciones». Del mismo modo, al actualizar las políticas, la actualización CT reemplaza el documento de política existente y no permite agregar o eliminar una declaración de política individual en el documento de política existente.
Cuando se selecciona la opción «validar únicamente», las comprobaciones en tiempo de ejecución se realizan sin aprovisionar ninguna entidad o política de IAM. Independientemente de los resultados, el estado de la RFC es «correcto». El estado «correcto» indica que la validación se realizó correctamente con respecto a la entidad o política de IAM proporcionada.
+ Implementación \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Crear entidad o política (permisos de lectura-escritura) (ct-1n9gfnog5x7fl)](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy-read-write-permissions.html): una nueva entidad o política de IAM se valida y aprovisiona automáticamente.
+ Administración \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Actualizar entidad o política (permisos de lectura-escritura) (ct-1e0xmuy1diafq)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html): una entidad o política de IAM existente se actualiza y valida automáticamente.
+ Administración \$1 Advanced Stack Components \$1 Identity and Access Management (IAM) \$1 [Eliminar entidad o política (permisos de lectura-escritura) (ct-17cj84y7632o6)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-delete-entity-or-policy-read-write-permissions.html): se elimina una entidad o política de IAM existente que se aprovisiona mediante el tipo de cambio de política o entidad de creación automática.

Solo puede llamar a las tres anteriores mediante una función de IAM dedicada:. CTs `AWSManagedServicesIAMProvisionAdminRole` Esta función solo está disponible en las cuentas que se han incorporado a la función mediante los permisos de lectura y escritura de AMS \$1 Cuenta gestionada \$1 AMS Automated IAM Provisioning \$1 Enable (automatización gestionada[) (ct-1706xvvk6j9hf)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html).

**importante**  
Los tipos de cambios de creación, actualización y eliminación siempre están visibles en su cuenta, pero no están activados de forma predeterminada. Si intenta enviar una RFC mediante uno de estos tipos de cambios sin activar primero la función de aprovisionamiento automatizado de IAM por parte de AMS, aparecerá un mensaje de error que indica que no está autorizado.

**Limitaciones:**
+ La función Create CT podría permitirle crear un rol o una política de IAM con permiso para crear recursos. AWS Sin embargo, AMS no administra los AWS recursos creados por estas funciones y políticas. Se recomienda ceñirse al control de la organización para limitar la creación de dichos roles o políticas.
+ La actualización CT no puede modificar las funciones y políticas de IAM creadas con CFN Ingest, Direct Change Mode, Developer Mode o, en algunos casos, mediante el AMS Advanced existente, manual o automatizado. CTs
+ El comando Delete CT no puede eliminar las funciones o políticas existentes que no se hayan creado con el AMS Automated IAM Provisioning Create CT.
+ La función de aprovisionamiento automatizado de IAM de AMS con permisos de lectura y escritura no es compatible con las funciones del modo de cambio directo. Esto significa que no puede aprovisionar ni actualizar las funciones y políticas de IAM con permisos de lectura y escritura mediante estas funciones.
+ El aprovisionamiento automatizado de IAM por AMS con permisos de lectura y escritura Los tipos de cambios de creación, actualización y eliminación no son compatibles con el Connector. ServiceNow 

# El tiempo de ejecución comprueba el aprovisionamiento automatizado de IAM de AMS en AMS
<a name="aip-runtime-checks"></a>

El aprovisionamiento automatizado de IAM aprovecha las comprobaciones de la política de límites de AMS AWS Identity and Access Management Access Analyzer y realiza comprobaciones y validaciones adicionales en función de la misma. AMS definió las comprobaciones y validaciones adicionales en función de las mejores prácticas de IAM, la experiencia de gestionar la carga de trabajo de los clientes en la nube y la experiencia colectiva de evaluación manual de AMS IAM.

Puede ver los resultados de las comprobaciones de las políticas en tiempo de ejecución en el resultado de la solicitud de cambio (RFC). Los resultados incluyen el identificador del recurso, la ubicación dentro de la and/or política de roles que generó los hallazgos y un mensaje en el que se describe la comprobación que la entidad o el recurso de IAM no pudo superar. Estos hallazgos le ayudan a crear políticas que sean funcionales y se ajusten a las mejores prácticas de seguridad.

**nota**  
El aprovisionamiento automatizado de IAM intenta especificar la ubicación dentro de la definición de la entidad o política que no pasa la prueba. Según el tipo, la ubicación puede incluir el nombre del recurso o el ARN, o el índice dentro de una matriz. Por ejemplo, una declaración que le ayude a ajustar la entidad o la política para obtener un resultado exitoso.

Para disfrutar de una experiencia de aprovisionamiento automatizado de IAM por parte de AMS sin problemas, se recomienda utilizar la opción «solo validar» para ejecutar las comprobaciones de validación hasta que no se detecten resultados de las comprobaciones de validación que figuran en los resultados de la RFC. Cuando las comprobaciones de validación no arrojen resultados, seleccione **Crear copia** desde la consola AMS para crear rápidamente una copia de la RFC existente. Cuando esté listo para aprovisionar, en la sección **Parámetros**, cambie el valor **Validar solo** de **Sí** a **No** y, a continuación, continúe.

Estas son las comprobaciones en tiempo de ejecución que AMS Automated IAM Provisioning realiza para garantizar la seguridad de sus recursos de IAM:

**nota**  
Para aprovisionar políticas de IAM que contengan acciones denegadas por estos tipos de cambios automatizados, debe seguir el proceso de gestión de riesgos de seguridad para los clientes (CSRM) de la RFC. Utilice el siguiente tipo de cambio: Despliegue \$1 Componentes de pila avanzados \$1 Identity and Access Management (IAM) \$1 Crear entidad o política (automatización gestionada) (ct-3dpd8mdd9jn1r).
+ [https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)
+ Comprobaciones de la **política de límites de permisos de AMS:** acciones en un conjunto de servicios que se deniegan de forma predeterminada. Para obtener más información, consulte Comprobación [automática de los límites de los permisos de aprovisionamiento de IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Comprobaciones de la política de límites de permisos definidas por el cliente:** acciones restringidas adicionales en un conjunto de servicios que se deniegan. Para obtener más información, consulte Comprobación [automática de los límites de los permisos de aprovisionamiento de IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/aip-runtime-checks-perm-boundary.html).
+ **Comprobaciones personalizadas definidas por AMS**: comprobaciones que identifican diversas políticas o patrones de acceso inseguros y excesivamente permisivos dentro de una entidad o política de IAM solicitada, y deniegan la solicitud si se encuentra alguna. [Para obtener más información, consulte AWS Elementos de la política de JSON: Principal.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)


| Resultado | Description (Descripción) | 
| --- | --- | 
| Se puede acceder al rol desde una cuenta externa que se encuentra fuera de su zona de confianza. | Este hallazgo se refiere a un elemento principal incluido en la política de confianza de roles que se encuentra fuera de su zona de confianza. Una zona de confianza se define como la cuenta en la que se crea el rol o la AWS organización a la que pertenece la cuenta. Una entidad que no pertenece a la cuenta ni a la misma AWS organización es una entidad externa. Para resolver este problema, revisa el identificador de la cuenta en el principal ARNs y asegúrate de que te pertenece y de que se trata de una cuenta integrada en AMS. | 
| Puede acceder al rol una entidad externa propiedad de una cuenta *External\$1Account\$1ID* que no sea propiedad de la cuenta propiedad del cliente de AMS. *Account\$1ID* | Esta conclusión se genera si la política de confianza de roles incluye un ARN principal que tiene un identificador de cuenta que no es de tu propiedad y una cuenta incorporada de AMS. Para resolver este problema, elimina dicho principal de la política de confianza del rol. | 
| El ID de usuario canónico no es un principio admitido en la política de confianza de IAM. | La política de confianza de IAM no admite IDs los principios canónicos. Para resolver el problema, elimine dicho principio de la política de confianza del rol. | 
| Se puede acceder al rol mediante una identidad web externa que se encuentre fuera de su zona de confianza. | Este hallazgo se genera si la política de confianza de roles permite un proveedor de identidad web (IdP) externo distinto del IdP de SAML. Para resolver este problema, revise la política de confianza de roles y elimine las sentencias que permiten la operación. `sts:AssumeRoleWithWebIdentity` | 
| Se puede acceder a la función a través de la federación de SAML; sin embargo, el proveedor de identidad (IdP) de SAML proporcionado no existe. | Este hallazgo se genera si la política de confianza de roles contiene un IdP de SAML que no existe en su cuenta. Para resolverlo, asegúrate de que todos los IDP de SAML listados existen en tu cuenta. | 
| La política contiene acciones privilegiadas equivalentes al acceso de un administrador o de un usuario avanzado. Considere la posibilidad de reducir el alcance del permiso a un servicio, acción o recurso específicos. Si se utilizan elementos de política avanzados como **NotAction**o se **NotResource**utilizan, asegúrese de que no concedan más acceso del previsto, especialmente en las instrucciones **Allow**. | Cuando se establecen permisos AWS Identity and Access Management con políticas de IAM, se recomienda conceder únicamente los permisos necesarios para realizar una tarea. Para ello, defina las acciones que se pueden realizar en recursos específicos en condiciones específicas, también conocidas como permisos con privilegios mínimos. Esta conclusión se genera cuando la automatización detecta que la política concede amplios permisos y no se ajusta al principio del privilegio mínimo. Para resolver el problema, revise y reduzca los permisos. | 
| La declaración contiene acciones privilegiadas para*Service\$1Name*. Considere la posibilidad de excluir estas acciones con una declaración de rechazo. Consulte la referencia sobre la política de límites en la documentación de la AMS para obtener una lista de acciones privilegiadas. | AMS identificó determinadas acciones relacionadas con un servicio determinado como riesgosas y que el equipo de seguridad del cliente debía volver a estudiarlas y aceptarlas. Esta conclusión se genera cuando la automatización detecta la política determinada que concede dichos permisos. Para resolver este problema, deniega estas acciones en tu política. Para obtener una lista de acciones, consulte la política de límites de la AMS. Para obtener más información sobre la política de límites de AMS, consulte[Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS](aip-runtime-checks-perm-boundary.md).  | 
| [https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-read-write-permissions.html) *Service\$1Name* Considere la posibilidad de establecer el alcance de los permisos para tipos de cambio específicos o excluya estos tipos de cambio con una sentencia de denegación. | Esta conclusión se genera si la política concede permisos para realizar acciones relacionadas con la RFC mediante los tipos de cambio del aprovisionamiento automatizado de IAM (). CTs CTs Están sujetos a la aceptación de riesgos y solo se deben utilizar para las funciones incorporadas. Por lo tanto, no puedes concederles permiso. CTs Para resolver este problema, deniegue las acciones de RFC al utilizarlas CTs. | 
| La declaración contiene acciones privilegiadas que no se limitan a sus recursos de servicio. *Service\$1Name* Considere la posibilidad de limitar las acciones a recursos específicos o excluir los recursos con prefijos de espacio de nombres AMS. Si se utilizan caracteres comodín, asegúrese de que restrinjan el ámbito a sus recursos. | Esta conclusión se genera si la política concede acciones privilegiadas que no se limitan a los recursos del servicio en cuestión. Los comodines suelen crear políticas demasiado permisivas que incluyen un amplio conjunto de recursos o acciones en el ámbito de aplicación del permiso. Para resolver este problema, reduce el alcance de los permisos de los recursos de tu propiedad o excluye los recursos que se encuentran en el espacio de nombres AMS. Para obtener una lista de los prefijos de los espacios de nombres de AMS, consulte la política de límites en la documentación de AMS. Tenga en cuenta que no todos los prefijos se aplican a todos los servicios. Para obtener más información sobre la política de límites de AMS, consulte[Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS](aip-runtime-checks-perm-boundary.md). | 
| El identificador de cuenta o el nombre de recurso de Amazon (ARN) no son válidos. | Este hallazgo se genera si algún ARN o identificador de cuenta especificado en la política o la política de confianza de roles no es válido. Para revisar los recursos de un ARN de recurso válido para los servicios, consulte la Referencia de [autorización de servicios](https://docs.aws.amazon.com/service-authorization/latest/reference/reference.html). Asegúrese de que el ID de la cuenta sea un número de 12 dígitos y de que la cuenta esté activa en. AWS | 
| El uso del comodín (\$1) como identificador de cuenta en el ARN está restringido. | Este resultado se genera si se especifica un comodín (\$1) en el campo de ID de cuenta de un ARN. Un comodín en el campo del identificador de una cuenta coincide con cualquier cuenta y podría conceder permisos involuntarios a los recursos. Para resolver este problema, sustituye el comodín por un identificador de cuenta específico. | 
| La cuenta de recursos especificada no pertenece a la misma cuenta *Account\$1ID* propietaria del cliente de AMS. | Este hallazgo se genera si un identificador de cuenta especificado en el ARN de un recurso no le pertenece y AMS no lo administra. Para resolver este problema, asegúrese de que todos los recursos (tal como se especifica en su ARN en la política) pertenezcan a sus cuentas administradas por AMS. | 
| El nombre de la función está en el espacio de nombres restringido de AMS. | Este resultado se genera si intenta crear un rol con un nombre que comience con un prefijo reservado de AMS. Para resolver este problema, utilice un nombre para el rol que sea específico para su caso de uso. Para obtener una lista de los prefijos reservados de AMS, consulte Prefijos [reservados de AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html) | 
| El nombre de la política se encuentra en el espacio de nombres restringido de AMS. | Este resultado se genera si intenta crear una política con un nombre que comience con un prefijo reservado de AMS. Para resolver este problema, usa un nombre para la política que sea específico para tu caso de uso. Para obtener una lista de los prefijos reservados de AMS, consulte Prefijos [reservados de AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-reserved-prefixes.html). | 
| El ID de recurso del ARN se encuentra en el espacio de nombres restringido de AMS. | Este resultado se genera si se intenta crear una política que conceda permisos a los recursos con nombre asignado que se encuentran en el espacio de nombres AMS. Para resolver este problema, asegúrese de limitar los permisos a sus recursos o denegar los permisos a los recursos que se encuentran en el espacio de nombres AMS. [Para obtener más información sobre los espacios de nombres de AMS, consulte Espacios de nombres restringidos de AMS.](https://docs.aws.amazon.com/managedservices/latest/userguide/apx-namespaces.html) | 
| Caso de variable de política no válido. Actualice la variable a*Variable\$1Names*. | Este resultado se genera si se intenta crear una política que contenga una variable de política global de IAM en el caso incorrecto. Para resolver este problema, utilice las mayúsculas y minúsculas correctas para las variables globales de su política. Para obtener una lista de variables globales, consulta las [claves de contexto de las condiciones AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html). Para obtener más información sobre las variables de política, consulte [Elementos de la política de IAM: variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) | 
| La declaración contiene acciones privilegiadas que no están sujetas a las claves de KMS. Considere la posibilidad de limitar estos permisos a claves específicas o excluir las claves propiedad de AMS. | Esta conclusión se genera si la política contiene permisos que no se limitan a claves de KMS específicas de su propiedad. Para resolver este problema, limita el permiso a claves específicas o excluye las claves que son propiedad de AMS. Las claves propiedad de AMS tienen conjuntos de alias específicos. Para obtener una lista de los alias de clave propiedad de AMS, consulte[Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS](aip-runtime-checks-perm-boundary.md). | 
| La declaración contiene acciones privilegiadas que no se limitan a los alias de las claves de KMS. Considere la posibilidad de limitar estos permisos a sus claves o alias, o excluya los alias de clave propiedad de AMS. | Esta conclusión se genera si la política contiene permisos que no están limitados a un alias de claves de KMS específico de su propiedad. Para resolver este problema, limita el permiso a claves específicas o excluye las claves que son propiedad de AMS. Las claves propiedad de AMS tienen conjuntos de alias específicos. Para obtener una lista de los alias de clave propiedad de AMS, consulte[Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS](aip-runtime-checks-perm-boundary.md). | 
| La declaración contiene acciones privilegiadas que no tienen un alcance adecuado para sus claves de KMS mediante el. `kms:ResourceAliases condition` Considere la posibilidad de utilizar nombres de alias específicos junto con el operador de conjunto adecuado para la clave de condición. Si se utilizan caracteres comodín en los nombres de los alias, asegúrese de restringir el ámbito a un conjunto limitado de claves de KMS. | Esta conclusión se genera si estás limitando los permisos de tus claves de KMS mediante condiciones y no limitándolos `kms:ResourceAliases` a los alias de tus claves de KMS. O bien, si la clave de `kms:ResourceAliases` condición tiene un valor que también incluye los alias de las claves de KMS propiedad de AMS. Para resolver este problema, actualiza la condición para limitar los permisos únicamente a los alias de tus claves de KMS o excluir los alias de las claves de KMS que son propiedad de AMS. Para obtener una lista de los alias de clave propiedad de AMS, consulte. [Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS](aip-runtime-checks-perm-boundary.md) | 
| El rol debe tener adjunto customer\$1deny\$1policy. Incluya el ARN de la política en la lista de políticas administradas. ARNs | Este resultado se genera si el rol que está creando no tiene el rol `customer_deny_policy` adjunto. Para resolver este problema, inclúyalo `customer_deny_policy` en la ARNs lista de políticas administradas. | 
| La política AWS gestionada es demasiado permisiva o concede permisos restringidos por la política de límites de AMS. | Este resultado se genera si el **ManagedPolicyArns**valor de la función contiene alguna política gestionada por AMS que proporcione acceso total o de administrador al servicio correspondiente. Para resolver este problema, revise el uso de la política AWS administrada y utilice una política que otorgue permisos para reducir el alcance o defina su propia política que siga el principio del privilegio mínimo. | 
| La política gestionada por el cliente se encuentra en un espacio de nombres de AMS restringido. | Esta conclusión se genera si se asocia a la función alguna política gestionada por el cliente con un nombre como prefijo en el AWS espacio de nombres. Para resolver este problema, elimine la política de la **ManagedPolicyArn**lista para el rol. | 
| El customer\$1deny\$1policy no se puede separar del rol. Incluya el ARN de la política en la lista de políticas administradas. ARNs | Este resultado se genera si `customer_deny_policy` se separa del rol durante una actualización. Para resolver este problema, añada el `customer_deny_policy` **ManagedPolicyArns**campo del rol e inténtelo de nuevo. | 
| Las políticas gestionadas por el cliente se proporcionaron fuera del servicio AMS Change Management o sin validación previa. | Esta conclusión se genera si una o más políticas gestionadas por el cliente existentes ARNs están asociadas a un rol y las políticas no se aprovisionan a través del servicio de gestión de cambios de AMS (mediante una RFC). Por ejemplo, el modo de desarrollador o el modo de cambio directo permiten a los clientes aprovisionar políticas de IAM sin una RFC. Para resolver este problema, elimine la política gestionada por el cliente ARNs de la **ManagedPolicyArns**lista correspondiente al rol. | 
| El número de políticas administradas proporcionadas ARNs supera la cuota de política adjunta por rol. | Este resultado se genera si el número total de políticas administradas asociadas al rol supera la cuota de política por rol. Para obtener más información sobre las cuotas de IAM, consulte las cuotas de [IAM y AWS STS, los requisitos de nombres y los límites de caracteres](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). Utilice esta información para reducir la cantidad de políticas que asocia al rol. | 
| El tamaño de la política de confianza (\$1trust\$1policy\$1) supera la cuota de tamaño de la política de rol asumido de \$1size\$1. | Este resultado se genera si el tamaño del documento de política que asume el rol supera la cuota de tamaño de la política. Para obtener más información sobre las cuotas de IAM, consulte las cuotas de [IAM y AWS STS, los requisitos de nombres y los límites de caracteres](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html). | 
| La declaración contiene todas las acciones mutativas de Amazon S3. Considere la posibilidad de limitar estos permisos únicamente a las acciones obligatorias. Si se utilizan caracteres comodín, asegúrese de que abarquen un conjunto limitado de acciones mutativas. | Esta conclusión se genera si la política en cuestión concede todos los permisos mutativos de Amazon Simple Storage Service, independientemente de uno o más recursos. Para resolver este problema, incluye solo las acciones mutativas de Amazon S3 obligatorias contra tus buckets. | 
| La declaración contiene acciones privilegiadas que no están permitidas en ningún bucket de Amazon S3. Considere la posibilidad de añadir una declaración en la que se nieguen estas acciones. | Esta conclusión se genera si la política concede acciones privilegiadas en cualquier categoría. Para ver una lista de las acciones privilegiadas, consulta [Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS](aip-runtime-checks-perm-boundary.md) Para resolver este hallazgo, eliminar o denegar estas acciones en tu política. | 
| La declaración contiene acciones privilegiadas que no están dentro del ámbito de sus buckets en Amazon S3. Considere la posibilidad de incluir sus buckets o excluirlos con prefijos de espacio de nombres AMS. Si se utilizan caracteres comodín, asegúrate de que coincidan con los grupos de tus espacios de nombres. | Este hallazgo se genera si la política concede a Amazon S3 acciones que no se limitan únicamente a sus buckets. Esto suele ocurrir si se utilizan caracteres comodín al especificar los recursos del bucket. Para resolver este problema, especifique los nombres de los buckets o los ARNs que sean de su propiedad o excluya los buckets que tienen prefijos de espacio de nombres AMS. | 
| La declaración contiene acciones privilegiadas que no están dentro del ámbito de sus buckets en Amazon S3. Considere la posibilidad de evitar el uso de caracteres comodín (\$1) que abarquen todos los segmentos de la cuenta. | Este hallazgo se genera si la política concede a Amazon S3 acciones que no están dentro del ámbito de su bucket. Esto suele ocurrir si se utilizan caracteres comodín al especificar los recursos del bucket. Para resolver este problema, especifique los nombres de los buckets o los ARNs que sean de su propiedad o excluya los buckets que tienen prefijos de espacio de nombres AMS. | 
| La declaración contiene un comodín de recursos que se aplica a todos los buckets de Amazon S3, incluidos los buckets inexistentes y los buckets que no son de su propiedad. Considere la posibilidad de establecer el alcance de los permisos mediante una condición y una clave de condición. `s3:ResourceAccount` | Esta conclusión se genera si la política concede permisos a los grupos especificados mediante caracteres comodín. El uso de comodines suele incluir grupos inexistentes o no propietarios. Para resolver este problema, usa la condición y la clave de `aws:ResourceAccount` condición para limitar el permiso únicamente a los grupos de la cuenta corriente. Para obtener más información, consulte [Limitar el acceso a los buckets de Amazon S3 propiedad de AWS cuentas específicas](https://aws.amazon.com/blogs/storage/limit-access-to-amazon-s3-buckets-owned-by-specific-aws-accounts/). | 
| La declaración contiene un elemento de `NotResource` política, que puede abarcar un gran número de grupos, incluidos los que no existen y los que no son de su propiedad. Considere la posibilidad de establecer el alcance de los permisos mediante una condición y una clave de condición. `s3:ResourceAccount` | Esta conclusión se genera si la política utiliza el elemento de `NotResources` política para especificar los recursos del bucket. El uso del `NotResource` elemento puede abarcar una gran cantidad de grupos, incluidos los que no existen o no son propietarios. Para resolver este problema, usa las condiciones y la clave de `aws:ResourceAccount` condición para limitar el permiso a los grupos únicamente dentro de la cuenta corriente. | 
| La declaración contiene una acción de Amazon S3 en relación con grupos *Bucket\$1Name* que no existen, que no son propiedad de la cuenta *Account\$1ID* o el nombre contiene un comodín que puede estar limitado a un gran número de grupos, incluidos los que no existen y los que no son de su propiedad. Considere la posibilidad de establecer el alcance de los permisos mediante una condición y la clave de condición `s3:ResourceAccount` | Esta conclusión se genera si la política concede permiso a grupos que no existen, que no son de tu propiedad o que tienen caracteres comodín en los nombres de los grupos que cubren un gran número de grupos y el acceso no está limitado únicamente a la cuenta corriente. Para resolver este problema, usa la condición y la clave de `aws:ResourceAccount` condición para limitar el permiso únicamente a los grupos de la cuenta corriente. | 
| La declaración contiene una acción de Amazon S3 en relación con grupos *Bucket\$1Name* que no existen o que no son propiedad de la cuenta*Account\$1ID*, o el nombre contiene un comodín que puede estar limitado a un gran número de grupos, incluidos los que no existen y los que no son de su propiedad. El acceso no está restringido al uso `s3:ResourceAccount` de una cuenta de recursos específica en la condición de que no le pertenezca. | Esta conclusión se genera si la política concede permiso a grupos que no existen, que no son de tu propiedad o que tienen caracteres comodín en los nombres de los grupos que cubren un gran número de grupos y el acceso está limitado únicamente a una cuenta específica. Sin embargo, la cuenta especificada en la clave de `aws:ResourceAccount` condición no le pertenece y está gestionada por AMS. Para resolver este problema, actualice la clave de `aws:ResourceAccount` condición y establezca el identificador de cuenta adecuado que sea de su propiedad y que esté gestionado por AMS. | 
| La declaración contiene acciones privilegiadas que no están dentro del ámbito de sus instancias para Amazon EC2. Considere la posibilidad de limitar las acciones a una instancia específica ARNs o excluir las instancias que tengan una clave de etiqueta con un valor en los prefijos de los espacios de nombres de AMS. Si se utilizan caracteres comodín, asegúrate de que coincidan con los espacios de nombres de tu propiedad. | Esta conclusión se genera si la política concede acciones privilegiadas contra las instancias de Amazon EC2 que son propiedad de AMS. Las instancias de AMS se etiquetan con la clave de la etiqueta de **nombre** con los valores del espacio de nombres de AMS. Para resolver este problema, especifique sus recursos o excluya las instancias de AMS con una condición que tenga la `aws:ResourceTag/Name` clave que excluya los valores del espacio de nombres de AMS mediante el operador `StringNotLike` | 
| La declaración contiene acciones privilegiadas que no están relacionadas con los recursos del almacén de parámetros. AWS Systems Manager Considere la posibilidad ARNs de especificar sus parámetros o excluirlos con prefijos de espacio de nombres AMS. Si se utilizan caracteres comodín, asegúrese de que solo afecten a sus parámetros. | Este resultado se genera si la política concede permisos a parámetros que no son de su propiedad. Esto suele ocurrir cuando se utilizan caracteres comodín o cuando los parámetros con prefijos de espacio de nombres AMS aparecen en la sección de recursos de una declaración de política. Para resolver este problema, especifique los parámetros que estén dentro de su espacio de nombres o excluya los parámetros de AMS con una sentencia de rechazo. | 
| La declaración contiene acciones privilegiadas contra los recursos de. AWS Systems Manager Considere la posibilidad de limitar los permisos a las acciones de solo lectura o a las acciones contra sus recursos. | Este hallazgo se genera si la política concede permisos distintos del almacén de parámetros o las acciones de solo lectura contra los recursos de Systems Manager. Para resolver este problema, reduzca los permisos para las acciones de solo lectura o para el almacén de parámetros únicamente. | 
| La declaración contiene acciones privilegiadas que no se limitan a \$1message\$1, ya *Service\$1Name* que son tuyas. Considere la posibilidad de limitar estos permisos a tipos de recursos específicos, según proceda, o excluya los recursos propiedad de AMS. Si se utilizan comodines, asegúrese de que *Resources* coincidan. | Esta conclusión se genera si la política permite acciones privilegiadas que no se conceden con cargo a tus recursos, especialmente en el caso de los recursos con nombre asignado. Para resolver este problema, revisa tu lista de recursos y comprueba si solo se refieren a los recursos que se encuentran en tu espacio de nombres. Como alternativa, excluya los recursos que se encuentran en el espacio de nombres AMS. | 
| La declaración contiene acciones de etiquetado de \$1*Service\$1Name*\$1 que no se limitan a valores específicos para la clave de etiqueta de nombre. Considere la posibilidad de establecer el alcance de estas acciones configurando la clave de `aws:RequestTag/Name` condición con valores en su espacio de nombres o restrinja estas acciones configurando la clave de `aws:RequestTag/Name` condición con el `StringNotLike` operador con valores en los prefijos del espacio de nombres AMS. | Esta conclusión se genera si la política concede el permiso de etiquetado para un servicio determinado y el permiso no se limita a claves/valores de etiqueta específicos. Para determinar qué clave o valor se puede usar para etiquetar acciones, por ejemplo, al solicitar la realización de las acciones, usa la condición. `aws:RequestTag/tag key` Por lo tanto, para resolver esto, usa esta clave de condición para restringir la clave o los valores en tu espacio de nombres. O bien, deniegue la clave de `Name` etiqueta (`aws:RequestTag/Name`) con valores en el espacio de nombres AMS. | 
| Error interno al validar la política de confianza de roles de IAM. | Este hallazgo se genera cuando CT Automation detecta un error al validar la política de confianza de los roles de IAM a través del servicio IAM Access Analyzer. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| Error interno al validar la política gestionada por el cliente. | Este hallazgo se genera cuando CT Automation detecta un error al validar la política gestionada por el cliente a través del servicio IAM Access Analyzer. Para resolver este problema, vuelva a enviar el RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| No se encuentra el analizador de acceso en. *Región de AWS* No se pudo realizar la comprobación de la vista previa del acceso a la política de confianza de roles. | Este hallazgo se genera cuando el recurso IAM Access Analyzer no se encuentra en el. Región de AWS Póngase en contacto con AMS Operations para solucionar problemas y crear el recurso IAM Access Analyzer en la región de AWS. | 
| Política de confianza no válida para el rol *Role\$1Name* | Este hallazgo se genera cuando el rol de IAM proporcionado contiene una política de confianza no válida. Para resolverlo, revise la política de confianza para comprobar que es válida. | 
| IAM Access Analyzer ha detectado un error interno. No se pudo crear la vista previa de acceso para el rol *Role\$1Name* | Este hallazgo se genera cuando la automatización detecta un error al crear una vista previa del acceso para un rol mediante el analizador de acceso de IAM. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| No se pudo crear una vista previa de acceso a la política de confianza del rol *Role\$1Name* | Este hallazgo se genera cuando la automatización detecta un error al crear una vista previa de acceso para un rol mediante el analizador de acceso de IAM. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| Error interno al validar el IDP de SAML listado. | Este hallazgo se genera cuando la automatización detecta un error al validar el SAML proporcionado que IdPs figura en la política de confianza del rol. Para resolver este problema, vuelve a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| Error interno al validar los permisos. AWS Key Management Service | Este hallazgo se genera cuando la automatización detecta un error al validar los permisos AWS KMS clave de la política proporcionada. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| Error interno al validar la política gestionada de la lista. ARNs | Este hallazgo se genera cuando la automatización detecta un error al validar la política gestionada de la lista. ARNs Para resolver este problema, vuelva a enviar el RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| Error interno al validar el adjunto predeterminado`customer_deny_policy`. | Este hallazgo se genera cuando la automatización detecta un error al validar que `customer_deny_policy` está asociado al rol. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| Error interno al validar los avisos de política gestionada para el rol *Role\$1Name* | Este hallazgo se genera cuando la automatización detecta un error al validar la política gestionada ARNs para el rol. Para resolver este problema, vuelva a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| Error interno al validar con arreglo a la política de límites *Policy\$1name* definida por el cliente `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` | Este hallazgo se genera cuando la automatización detecta un error al validar la política que contiene la lista de rechazados personalizada. Para resolver este problema, vuelve a enviar la RFC. Si el error persiste, póngase en contacto con AMS Operations para solucionar el error. | 
| La política de límites definida por el cliente `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` existe en la cuenta. Sin embargo, la política contiene declaraciones de autorización que otorgan permisos. La política solo debe contener declaraciones de rechazo. | Esta conclusión se genera cuando la política que contiene su lista de denegaciones personalizada incluye una declaración que concede el permiso. Aunque la lista de denegación personalizada existe en tu cuenta como una política gestionada por IAM, no se puede utilizar para gestionar los permisos. La política solo debe contener declaraciones de denegación que indiquen que usted desea que AMS Automated IAM Provisioning valide y deniegue las acciones de sus políticas de IAM creadas por AMS Automated IAM Provisioning. | 
| La declaración contiene las acciones privilegiadas para las que ha definido su organización. *Service\$1Name* Considere la posibilidad de excluir estas acciones con una declaración de rechazo. Consulta la política indicada en tu cuenta para consultar la lista de acciones restringidas. | Este resultado se genera cuando la automatización detecta cualquier acción en tu política que hayas definido en la lista de denegaciones personalizada. Para resolver el problema, revisa tu declaración de política y elimina cualquier acción que esté definida en tu lista de denegación personalizada o añade una declaración de denegación que deniegue dichas acciones. | 
| El rol debe estar *POLICY\$1ARN* asociado. Incluya el ARN de la política en la lista de políticas administradas. ARNs | Este resultado se genera si el rol que está creando no tiene el rol *POLICY\$1ARN* adjunto. Para resolver este problema, *POLICY\$1ARN* inclúyelo en el **ManagedPolicyArns**campo del rol y vuelve a intentarlo. | 
| No se *POLICY\$1ARN* puede separar del rol. Incluya el ARN de la política en la lista de políticas administradas. ARNs | Este resultado se genera si *POLICY\$1ARN* se separa del rol durante una actualización. Para resolver este problema, añada el *POLICY\$1ARN* **ManagedPolicyArns**campo del rol e inténtelo de nuevo. | 

# Verificación automática de límites de permisos de aprovisionamiento de IAM por AMS
<a name="aip-runtime-checks-perm-boundary"></a>

Las verificaciones de límites de permisos de AMS le ayudan a cumplir con la política de límites de permisos predeterminada proporcionada por AMS. Esta política es una lista de acciones denegadas por el aprovisionamiento automatizado de IAM por parte de AMS. Las políticas de aprovisionamiento que contienen estas acciones restringidas requieren una aceptación adicional y explícita del riesgo. Descargue la política aquí: [boundary-policy.zip](samples/boundary-policy.zip).

Utilice las comprobaciones de la política de límites de permisos definidas por el cliente para personalizar las acciones de denegación más allá de los valores predeterminados de la política de límites de permisos de AMS. Si se incorpora al aprovisionamiento automatizado de IAM por AMS mediante el siguiente tipo de cambio: Administración \$1 Cuenta gestionada \$1 Aprovisionamiento automatizado de IAM por AMS con permisos de lectura y escritura \$1 [Habilitar (automatización gestionada) (ct-1706xvvk6j9hf)](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-enable-review-required.html), puede incluir una lista de acciones de denegación personalizadas que especifiquen acciones restringidas adicionales. 

Puede actualizar la lista de acciones de denegación mediante el tipo de cambio: Administración \$1 Cuenta gestionada \$1 Aprovisionamiento automatizado de IAM con permisos de lectura y escritura \$1 [Actualizar lista de denegaciones personalizada](https://docs.aws.amazon.com/managedservices/latest/ctref/management-managed-automated-iam-provisioning-with-read-write-permissions-update-custom-deny-list-review-required.html) (ct-2r9xvd3sdsic0). Debe utilizar `AWSManagedServicesIAMProvisionAdminRole` la función de IAM dedicada para ejecutar este tipo de cambio.

**nota**  
Debe proporcionar una lista completa de las acciones de denegación para cada actualización. La lista anterior se sustituye por la nueva.
La lista de acciones de denegación debe contener únicamente las acciones que se van a denegar. No se admiten las acciones de permiso. 
La lista de acciones de denegación se encuentra en la cuenta con el nombre `AWSManagedServicesIAMProvisionCustomerBoundaryPolicy` de una política gestionada por IAM. La política no debe estar asociada a ningún rol.
El término *límite de permisos* utilizado para designar las acciones denegadas en el aprovisionamiento automatizado de IAM por parte de AMS tiene un significado contextual diferente al del límite de permisos de IAM. El límite de permisos de IAM establece el permiso máximo que una política puede conceder en tiempo de ejecución a una entidad de IAM. *Para obtener más información sobre el límite de permisos de IAM, consulte los [tipos de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policy-types) en la Guía del AWS Identity and Access Management usuario.* El límite de permisos del aprovisionamiento automatizado de IAM por parte de AMS impide aprovisionar una política de IAM que contenga un conjunto determinado de permisos, por ejemplo, una lista de acciones denegadas.

# Solución de problemas y errores del aprovisionamiento automatizado de IAM de AMS
<a name="aip-troubleshooting"></a>

Existen tres formas en las que puede tener problemas al utilizar el aprovisionamiento automatizado de IAM por parte de AMS:
+ Errores de RFC: pueden producirse por diversos motivos; por ejemplo, una entrada incorrecta. Para obtener más información, consulte [Solución de problemas de errores de RFC en AMS](rfc-troubleshoot.md).
+ Errores de SSM: pueden producirse por diversos motivos; por ejemplo, un formato deficiente. Para obtener más información, consulte [Solución de problemas de automatización de Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-troubleshooting.html).
+ Hallazgos de las comprobaciones de validación: se producen cuando una de las muchas comprobaciones de validación que ejecuta Automated IAM Provisioning encuentra un problema. Para obtener una lista de las comprobaciones de validación y las acciones recomendadas para solucionarlas, consulte. [El tiempo de ejecución comprueba el aprovisionamiento automatizado de IAM de AMS en AMS](aip-runtime-checks.md)