Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Arquitectura para controles de acceso basados en certificados en AWS Puede utilizarlas AWS Identity and Access Management Roles Anywhere para obtener credenciales de seguridad temporales en AWS Identity and Access Management (IAM) para cargas de trabajo como servidores, contenedores y aplicaciones que se ejecutan fuera de ellas. AWS Sus cargas de trabajo pueden usar las mismas [políticas y funciones de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) [que usted usa para acceder](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) a los recursos. AWS IAM Roles Anywhere elimina la necesidad de gestionar las credenciales a largo plazo para las cargas de trabajo que funcionan fuera del. Nube de AWS Para poder IAM Roles Anywhere utilizarlos, sus cargas de trabajo deben utilizar certificados X.509 emitidos por su [autoridad de certificación (](https://docs.aws.amazon.com/privateca/latest/userguide/PcaTerms.html#terms-ca)CA). Debe registrar la CA IAM Roles Anywhere como ancla de confianza para establecer la confianza entre su infraestructura de clave pública y. IAM Roles Anywhere En esta guía, utiliza [AWS Private Certificate Authority (AWS Private CA)](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) como CA y, a continuación, establece una relación de confianza con IAM Roles Anywhere ella. En el contexto de IAM Roles Anywhere, AWS Private CA sirve como fuente confiable para emitir certificados con atributos específicos que se pueden utilizar para controlar el acceso a AWS los recursos mediante políticas detalladas. Esta guía proporciona dos opciones diferentes para configurar el acceso basado en certificados a AWS los recursos del destino y. Cuenta de AWS Región de AWS El siguiente diagrama muestra los recursos que son comunes a ambas opciones. AWS Private CA está configurado en la misma cuenta y región en la que IAM Roles Anywhere está desplegado. Existe un ancla de confianza entre IAM Roles Anywhere y AWS Private CA. De forma predeterminada, todos los certificados que se AWS Private CA generan pueden usarse durante el proceso de firma y se almacenan en AWS Certificate Manager (ACM). A los efectos de esta guía, las aplicaciones acceden a uno o más depósitos de Amazon Simple Storage Service (Amazon S3) del. Cuenta de AWS ![IAM Roles Anywhere desplegado en la misma cuenta y región que AWS Private CA.](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/certificate-based-access-controls/images/iam-roles-anywhere-same-account-region.png) La arquitectura debe tener las siguientes características: + **Certificados**: puede usar ACM para generar certificados. Como ACM es un servicio regional, debe implementarse de la misma manera Región de AWS que. AWS Private CA Debido a las limitaciones entre cuentas, le recomendamos que implemente ACM en la misma cuenta que. AWS Private CA Para obtener más información, consulte [las condiciones de uso AWS Private CA para firmar certificados privados de ACM](https://docs.aws.amazon.com/acm/latest/userguide/ca-access.html) en la documentación de ACM. + **Una entidad emisora de certificados**: puede utilizar AWS Private CA o utilizar una entidad emisora de certificados externa. Como AWS Private CA es un servicio regional, debe implementarse al Región de AWS igual que ACM y los certificados. + **Funciones de IAM:**** asigne** las políticas y los permisos de IAM a las funciones de IAM, en función de los requisitos empresariales o de los casos de uso de su organización. Para obtener más información, consulte la [creación de roles de IAM en la documentación de](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html) IAM. + **IAM Roles Anywhere perfiles**: configure perfiles para especificar qué roles IAM Roles Anywhere asumen y qué pueden hacer sus cargas de trabajo con las credenciales temporales. En el perfil, defina las políticas de sesión de IAM para limitar los permisos creados para una sesión. Para obtener más información, consulte [Configurar funciones](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html#getting-started-step2) en la IAM Roles Anywhere documentación. + Herramienta de **ayuda para credenciales: utilice la herramienta** de ayuda para credenciales que se IAM Roles Anywhere proporciona para obtener credenciales de seguridad temporales. Para obtener más información, consulte [Obtener credenciales de seguridad temporales](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/credential-helper.html) en la documentación. IAM Roles Anywhere IAM Roles Anywhere Para delegar el permiso de acceso a un recurso IAM Roles Anywhere, debe crear un rol de IAM que tenga una política de permisos y una política de confianza. Una *política de permisos* otorga a la entidad que asume los permisos necesarios para llevar a cabo las tareas previstas en el recurso. Una [política de confianza](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) especifica qué miembros de la cuenta de confianza pueden asumir la función. En esta guía, las políticas de permisos definen a qué buckets de Amazon S3 puede acceder la entidad y las políticas de confianza definen qué aplicación puede asumir la función. En esta guía se describen los siguientes escenarios para ilustrar las opciones de configuración de las políticas de confianza de los roles de IAM: + [Opción 1: las aplicaciones pueden asumir cualquier función vinculada a un IAM Roles Anywhere perfil](option-1.md)— Se han aprovisionado uno o más certificados en ACM desde las aplicaciones que requieren acceso a los recursos AWS Private CA y se han compartido con ellas. AWS Estas aplicaciones pueden asumir cualquier función vinculada a un IAM Roles Anywhere perfil. Esto se debe a que la política de confianza no limita qué aplicación puede asumirla. + [Opción 2: Las aplicaciones solo pueden asumir la función que permita la política de confianza](option-2.md)— Se han aprovisionado dos certificados en ACM desde las aplicaciones que requieren acceso a AWS los recursos AWS Private CA y se han compartido con ellas. **Debido a los controles de acceso basados en certificados de las políticas de confianza, la **aplicación 1** solo puede asumir la **función 1** y la **aplicación 2 solo puede asumir la función 2**.** **Requisitos previos** Para configurar estas opciones, debe completar lo siguiente: Una aplicación externa que requiere acceso a los recursos propios Cuenta de AWS y a los de Target Región de AWS. La autoridad de certificación está configurada en la misma región que IAM Roles Anywhere. Para obtener instrucciones sobre la configuración AWS Private Certificate Authority, consulte [Primeros pasos con IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html). Ha emitido un certificado para la solicitud. Para obtener más información e instrucciones, consulte [AWS Certificate Manager los certificados](https://docs.aws.amazon.com/acm/latest/userguide/gs.html).