Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Paso 4. Implementar mecanismos de control de acceso Cuando piense en la seguridad en la nube, la estrategia fundamental debe comenzar con una base de identidad sólida para garantizar que el usuario tenga los permisos adecuados para acceder a los datos. La autenticación y la autorización adecuadas pueden reducir el riesgo de eventos de seguridad. El modelo de responsabilidad compartida exige que los AWS clientes implementen políticas de control de acceso. Para crear y gestionar políticas de acceso a escala, puede utilizar AWS Identity and Access Management (IAM). Para configurar derechos y permisos de acceso, implemente el principio de privilegio mínimo, de modo que cada usuario o sistema que acceda a los datos o a los almacenes de copias de seguridad reciba únicamente los permisos necesarios para llevar a cabo su trabajo. Úselo AWS Backup para [establecer políticas de acceso en las bóvedas de respaldo](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-vault-access-policy.html) a fin de proteger sus cargas de trabajo en la nube. Por ejemplo, al implementar políticas de control de acceso, puede conceder a los usuarios acceso para crear planes de copias de seguridad y copias de seguridad bajo demanda, al tiempo que limita la capacidad de eliminar puntos de recuperación. Con las políticas de acceso a los almacenes, puede compartir un almacén de respaldo de destino con una función de origen Cuenta de AWS o de IAM, según lo requieran las necesidades de su empresa. También puede utilizar las políticas de acceso para compartir un almacén de copias de seguridad con una o varias cuentas o con toda la organización en AWS Organizations. Para obtener más información, consulte la [Documentación de AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-cross-account-backup.html#share-vault-cab). A medida que vaya escalando sus cargas de trabajo o migrando a AWS ellas, es posible que necesite gestionar de forma centralizada los permisos de sus almacenes y operaciones de backup. Utilice [las políticas de control de servicios (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) para implementar un control centralizado sobre el máximo de permisos disponibles para todas las cuentas de su organización. SCPs ofrecen una defensa exhaustiva y garantizan que sus usuarios cumplan con las directrices de control de acceso definidas. Para obtener más información, consulte [Administrar el acceso a las copias de seguridad mediante políticas de control de servicios con AWS Backup](https://aws.amazon.com/blogs/storage/managing-access-to-backups-using-service-control-policies-with-aws-backup/). Para mitigar los riesgos de seguridad, como el acceso no deseado a sus recursos y datos de respaldo, utilice IAM Access Analyzer para identificar cualquier función de AWS Backup IAM que comparta con lo siguiente: + Una entidad externa, como un Cuenta de AWS + Un usuario raíz + Un usuario o rol de IAM + Un usuario federado + Una Servicio de AWS + Un usuario anónimo + Cualquier otra entidad que pueda utilizarse para crear un filtro