Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración de identidades y accesos para Amazon Rekognition
AWS Identity and Access Management (IAM) es una Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién se puede *autenticar* (iniciar sesión) y *autorizar* (tener permisos) para utilizar los recursos de Amazon Rekognition. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [
## Público
](#security_iam_audience)
+ [
## Autenticación con identidades
](#security_iam_authentication)
+ [
## Administración del acceso con políticas
](#security_iam_access-manage)
+ [
# Cómo funciona Amazon Rekognition con IAM
](security_iam_service-with-iam.md)
+ [
# AWS políticas gestionadas para Amazon Rekognition
](security-iam-awsmanpol.md)
+ [
## Prácticas recomendadas sobre las políticas
](#security_iam_service-with-iam-policy-best-practices)
+ [
# Uso de la consola de Amazon Rekognition
](security_iam_id-based-policy-examples-console.md)
+ [
# Ejemplos de uso de políticas de Amazon Rekognition basadas en identidades
](security_iam_id-based-policy-examples.md)
+ [
# Ejemplos de políticas de Amazon Rekognition basadas en recursos
](security_iam_resource-based-policy-examples.md)
+ [
# Solución de problemas de identidad y acceso de Amazon Rekognition
](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso de Amazon Rekognition](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon Rekognition con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de uso de políticas de Amazon Rekognition basadas en identidades](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Uso de políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Uso de políticas basadas en recursos
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon Rekognition con IAM
Antes de utilizar IAM para administrar el acceso a Amazon Rekognition, debe conocer qué características de IAM están disponibles con Amazon Rekognition. *Para obtener una visión general de cómo Amazon Rekognition AWS y otros servicios funcionan con IAM [AWS , consulte Servicios que funcionan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) con IAM en la Guía del usuario de IAM.*
**Topics**
+ [
## Políticas de Amazon Rekognition basadas en identidades
](#security_iam_service-with-iam-id-based-policies)
+ [
## Políticas basadas en recursos de Amazon Rekognition
](#security_iam_service-with-iam-resource-based-policies)
+ [
## Roles de IAM de Amazon Rekognition
](#security_iam_service-with-iam-roles)
## Políticas de Amazon Rekognition basadas en identidades
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Amazon Rekognition admite acciones, claves de condiciones y recursos específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de políticas de Amazon Rekognition utilizan el siguiente prefijo antes de la acción: `rekognition:`. Por ejemplo, para conceder permiso a alguien para detectar objetos, escenas o conceptos en una imagen con la operación `DetectLabels` de la API de Amazon Rekognition, debe incluir la acción `rekognition:DetectLabels` en su política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Amazon Rekognition define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"rekognition:action1",
"rekognition:action2"
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "rekognition:Describe*"
```
Para ver una lista de las acciones de Amazon Rekognition, consulte [Acciones definidas por Amazon Rekognition](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonrekognition.html#amazonrekognition-actions-as-permissions) en la *Guía del usuario de IAM*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para obtener más información sobre el formato de ARNs, consulte [Amazon Resource Names (ARNs) y AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por ejemplo, para especificar la colección `MyCollection` en la instrucción, utilice el siguiente ARN:
```
"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/MyCollection"
```
Para especificar todas las instancias que pertenecen a una cuenta específica, utilice el carácter comodín (\$1):
```
"Resource": "arn:aws:rekognition:us-east-1:123456789012:collection/*"
```
Algunas acciones de Amazon Rekognition, como las que se utilizan para crear recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
*Para ver una lista de los tipos de recursos de Amazon Rekognition ARNs y sus tipos de recursos[, consulte Recursos definidos por Amazon Rekognition](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonrekognition.html#amazonrekognition-resources-for-iam-policies) en la Guía del usuario de IAM.* Para obtener información acerca de las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por Amazon Rekognition](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonrekognition.html#amazonrekognition-actions-as-permissions).
### Claves de condición
Amazon Rekognition no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de algunas claves de condición globales. *Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del usuario de IAM.*
## Políticas basadas en recursos de Amazon Rekognition
Políticas basadas en recursos de Amazon Rekognition para operaciones de copia de modelos de Etiquetas personalizadas. Para obtener más información, vea [Amazon Rekognition resource-based policy examples](https://docs.aws.amazon.com/rekognition/latest/dg/security_iam_resource-based-policy-examples.html).
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket.
Para tener acceso a las imágenes almacenadas en un bucket de Amazon S3, debe tener permiso de acceso al objeto en el bucket de S3. Con este permiso, Amazon Rekognition puede descargar imágenes del bucket de S3. La siguiente política de ejemplo permite al usuario realizar la acción `s3:GetObject` en el bucket de S3 denominado amzn-s3-demo-bucket3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket3/*"
]
}
]
}
```
------
Para usar un bucket de S3 con el control de versiones habilitado, añada la acción `s3:GetObjectVersion`, como se muestra en el siguiente ejemplo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket3/*"
]
}
]
}
```
------
## Roles de IAM de Amazon Rekognition
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos.
### Uso de credenciales temporales con Amazon Rekognition
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Para obtener credenciales de seguridad temporales, puede llamar a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Amazon Rekognition admite el uso de credenciales temporales.
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Amazon Rekognition no admite roles vinculados a servicios.
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Amazon Rekognition admite roles de servicio.
El uso de un rol de servicio puede crear un problema de seguridad en el que Amazon Rekognition se utilice para llamar a otro servicio y actuar sobre recursos a los que no debería tener acceso. Para mantener la seguridad de su cuenta, debe limitar el alcance del acceso de Amazon Rekognition únicamente a los recursos que esté utilizando. Para ello, puede adjuntar una política de confianza a su rol de servicio de IAM. Para obtener información sobre cómo hacerlo, consulte [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md).
### Elegir un rol de IAM en Amazon Rekognition
Al configurar Amazon Rekognition para analizar vídeos almacenados, debe elegir un rol para permitir a Amazon Rekognition acceder a Amazon SNS en su nombre. Si ha creado previamente un rol de servicio o un rol vinculado a servicios, Amazon Rekognition le proporciona una lista de roles para elegir. Para obtener más información, consulte [Configuración de Amazon Rekognition Video](api-video-roles.md).
### Ejemplos: configuración de Amazon Rekognition para acceder a imágenes almacenadas en un bucket de Amazon S3
A continuación, se muestra un ejemplo de cómo puede configurar Amazon Rekognition para analizar imágenes almacenadas en un bucket de Amazon S3. Si prefiere utilizar Amazon Rekognition para analizar imágenes almacenadas en un bucket de Amazon S3, haga lo siguiente:
1. Asegúrese de que su IAM user/role (el cliente) tenga permiso para llamar a las operaciones de la API Amazon Rekognition pertinentes (por ejemplo, etc.) DetectLabels DetectFaces
Asocie una política basada en identidad que otorgue los permisos adecuados para invocar las operaciones de API que desee. Por ejemplo, para conceder a su rol permisos para llamar a `DetectLabels` y `DetectFaces`, asociará a su rol una política similar a la siguiente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rekognition:DetectLabels",
"rekognition:DetectFaces"
],
"Resource": "*"
}
]
}
```
------
1. El servicio de Amazon Rekognition necesita permiso para acceder a su bucket de Amazon S3. Cree un rol de servicio de IAM, que deberá transferir a Amazon Rekognition cuando realice llamadas a la API. Asegúrese de que el rol de servicio: Confía en la entidad principal de Amazon Rekognition, tenga permisos `s3:GetObject` para su bucket.
La política de confianza podría tener el siguiente aspecto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rekognition.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
La política basada en identidad asociada al rol de servicio podría tener este aspecto:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
# AWS políticas gestionadas para Amazon Rekognition
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## Política gestionada por AWS: AmazonRekognitionFullAccess
`AmazonRekognitionFullAccess` concede acceso completo a los recursos de Amazon Rekognition, incluida la creación y eliminación de colecciones.
Puede adjuntar la política de `AmazonRekognitionFullAccess` a las identidades de IAM.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rekognition:*"
],
"Resource": "*"
}
]
}
```
------
## Política gestionada por AWS: AmazonRekognitionReadOnlyAccess
`AmazonRekognitionReadOnlyAccess` concede acceso de solo lectura a recursos de Amazon Rekognition.
Puede adjuntar la política de `AmazonRekognitionReadOnlyAccess` a las identidades de IAM.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonRekognitionReadOnlyAccess",
"Effect": "Allow",
"Action": [
"rekognition:CompareFaces",
"rekognition:DetectFaces",
"rekognition:DetectLabels",
"rekognition:ListCollections",
"rekognition:ListFaces",
"rekognition:SearchFaces",
"rekognition:SearchFacesByImage",
"rekognition:DetectText",
"rekognition:GetCelebrityInfo",
"rekognition:RecognizeCelebrities",
"rekognition:DetectModerationLabels",
"rekognition:GetLabelDetection",
"rekognition:GetFaceDetection",
"rekognition:GetContentModeration",
"rekognition:GetPersonTracking",
"rekognition:GetCelebrityRecognition",
"rekognition:GetFaceSearch",
"rekognition:GetTextDetection",
"rekognition:GetSegmentDetection",
"rekognition:DescribeStreamProcessor",
"rekognition:ListStreamProcessors",
"rekognition:DescribeProjects",
"rekognition:DescribeProjectVersions",
"rekognition:DetectCustomLabels",
"rekognition:DetectProtectiveEquipment",
"rekognition:ListTagsForResource",
"rekognition:ListDatasetEntries",
"rekognition:ListDatasetLabels",
"rekognition:DescribeDataset",
"rekognition:ListProjectPolicies",
"rekognition:ListUsers",
"rekognition:SearchUsers",
"rekognition:SearchUsersByImage",
"rekognition:GetMediaAnalysisJob",
"rekognition:ListMediaAnalysisJobs"
],
"Resource": "*"
}
]
}
```
------
## Política gestionada por AWS: AmazonRekognitionServiceRole
`AmazonRekognitionServiceRole` permite a Amazon Rekognition llamar a los servicios de Amazon Kinesis Data Streams y Amazon SNS en su nombre.
Puede asociar la política `AmazonRekognitionServiceRole` a las identidades de IAM.
Si utiliza este rol de servicio, debe proteger su cuenta limitando el alcance del acceso de Amazon Rekognition únicamente a los recursos que utilice. Para ello, puede adjuntar una política de confianza a su rol de servicio de IAM. Para obtener información sobre cómo hacerlo, consulte [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md).
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": "arn:aws:sns:*:*:AmazonRekognition*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:PutRecord",
"kinesis:PutRecords"
],
"Resource": "arn:aws:kinesis:*:*:stream/AmazonRekognition*"
},
{
"Effect": "Allow",
"Action": [
"kinesisvideo:GetDataEndpoint",
"kinesisvideo:GetMedia"
],
"Resource": "*"
}
]
}
```
------
## Política gestionada por AWS: AmazonRekognitionCustomLabelsFullAccess
Esta política es para los usuarios de Etiquetas personalizadas de Amazon Rekognition. Utilice la AmazonRekognitionCustomLabelsFullAccess política para permitir a los usuarios un acceso total a la API de etiquetas personalizadas de Amazon Rekognition y a los buckets de consola creados por la consola de etiquetas personalizadas de Amazon Rekognition.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:ListAllMyBuckets",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::*custom-labels*"
},
{
"Effect": "Allow",
"Action": [
"rekognition:CopyProjectVersion",
"rekognition:CreateProject",
"rekognition:CreateProjectVersion",
"rekognition:StartProjectVersion",
"rekognition:StopProjectVersion",
"rekognition:DescribeProjects",
"rekognition:DescribeProjectVersions",
"rekognition:DetectCustomLabels",
"rekognition:DeleteProject",
"rekognition:DeleteProjectVersion",
"rekognition:TagResource",
"rekognition:UntagResource",
"rekognition:ListTagsForResource",
"rekognition:CreateDataset",
"rekognition:ListDatasetEntries",
"rekognition:ListDatasetLabels",
"rekognition:DescribeDataset",
"rekognition:UpdateDatasetEntries",
"rekognition:DistributeDatasetEntries",
"rekognition:DeleteDataset",
"rekognition:PutProjectPolicy",
"rekognition:ListProjectPolicies",
"rekognition:DeleteProjectPolicy"
],
"Resource": "*"
}
]
}
```
------
## Amazon Rekognition AWS actualiza las políticas gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Rekognition desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de la API de Amazon Rekognition.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Las acciones que implican trabajos de análisis de contenido multimedia se han agregado a la siguiente política administrada:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition ha añadido las siguientes acciones a la política administrada de AmazonRekognitionReadOnlyAccess: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | 31 de octubre de 2023 |
| Las acciones que implican la administración de usuarios se han agregado a la siguiente política administrada:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition ha añadido las siguientes acciones a la política administrada de AmazonRekognitionReadOnlyAccess: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | 12 de junio de 2023 |
| Se han agregado Actions for Model ProjectPolicy Copy y etiquetas personalizadas a las siguientes políticas administradas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition agregó las siguientes acciones a las políticas administradas AmazonRekognitionCustomLabelsFullAccess y AmazonRekognitionFullAccess: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | 21 de julio de 2022 |
| Se han agregado acciones para etiquetas personalizadas Model ProjectPolicy Copy y se han agregado a las siguientes políticas administradas:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition ha añadido las siguientes acciones a la política administrada de AmazonRekognitionReadOnlyAccess : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | 21 de julio de 2022 |
| Actualización de la administración de conjuntos de datos para las siguientes políticas administradas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | Amazon Rekognition agregó las siguientes acciones AmazonRekognitionReadOnlyAccess a AmazonRekognitionFullOnlyAccess las políticas, y administró: AmazonRekognitionCustomLabelsFullAccess [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/rekognition/latest/dg/security-iam-awsmanpol.html) | 1 de noviembre de 2021 |
| Actualización de etiquetado para [Política gestionada por AWS: AmazonRekognitionReadOnlyAccess](#security-iam-awsmanpol-AmazonRekognitionReadOnlyAccess) y [Política gestionada por AWS: AmazonRekognitionFullAccess](#security-iam-awsmanpol-AmazonRekognitionFullAccess) | Amazon Rekognition agregó nuevas acciones de etiquetado a las políticas y. AmazonRekognitionFullAccess AmazonRekognitionReadOnlyAccess | 2 de abril de 2021 |
| Amazon Rekognition comenzó a hacer el seguimiento de los cambios | Amazon Rekognition comenzó a realizar un seguimiento de los cambios en sus políticas gestionadas. AWS | 2 de abril de 2021 |
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon Rekognition de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
# Uso de la consola de Amazon Rekognition
Con la excepción de la característica de Etiquetas personalizadas de Amazon Rekognition, Amazon Rekognition no requiere permisos adicionales al usar la consola de Amazon Rekognition. Para obtener información sobre las Etiquetas personalizadas de Amazon Rekognition, consulte [Step 5: Set Up Amazon Rekognition Custom Labels Console Permissions](https://docs.aws.amazon.com/rekognition/latest/dg/su-console-policy.html).
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API o a la AWS CLI API. AWS En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
# Ejemplos de uso de políticas de Amazon Rekognition basadas en identidades
De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar los recursos de Amazon Rekognition. Tampoco pueden realizar tareas con la AWS API Consola de administración de AWS AWS CLI, o. Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe asociar esas políticas a los usuarios o grupos que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [
## Ejemplo de políticas de Etiquetas personalizadas de Amazon Rekognition
](#security_iam_id-based-policy-examples-custom-labels)
+ [
## Ejemplo 1: Permitir al usuario acceso de solo lectura a los recursos
](#security_iam_id-based-policy-examples-read-only)
+ [
## Ejemplo 2: Permitir al usuario acceso completo a los recursos
](#security_iam_id-based-policy-examples-full-acess)
+ [
## Cómo permitir a los usuarios consultar sus propios permisos
](#security_iam_id-based-policy-examples-view-own-permissions)
## Ejemplo de políticas de Etiquetas personalizadas de Amazon Rekognition
Puede crear políticas basadas en la identidad para Etiquetas personalizadas de Amazon Rekognition. Para obtener más información, consulte [Seguridad](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/sc-introduction.html).
## Ejemplo 1: Permitir al usuario acceso de solo lectura a los recursos
En el siguiente ejemplo se concede acceso de solo lectura a los recursos de Amazon Rekognition.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rekognition:CompareFaces",
"rekognition:DetectFaces",
"rekognition:DetectLabels",
"rekognition:ListCollections",
"rekognition:ListFaces",
"rekognition:SearchFaces",
"rekognition:SearchFacesByImage",
"rekognition:DetectText",
"rekognition:GetCelebrityInfo",
"rekognition:RecognizeCelebrities",
"rekognition:DetectModerationLabels",
"rekognition:GetLabelDetection",
"rekognition:GetFaceDetection",
"rekognition:GetContentModeration",
"rekognition:GetPersonTracking",
"rekognition:GetCelebrityRecognition",
"rekognition:GetFaceSearch",
"rekognition:GetTextDetection",
"rekognition:GetSegmentDetection",
"rekognition:DescribeStreamProcessor",
"rekognition:ListStreamProcessors",
"rekognition:DescribeProjects",
"rekognition:DescribeProjectVersions",
"rekognition:DetectCustomLabels",
"rekognition:DetectProtectiveEquipment",
"rekognition:ListTagsForResource",
"rekognition:ListDatasetEntries",
"rekognition:ListDatasetLabels",
"rekognition:DescribeDataset"
],
"Resource": "*"
}
]
}
```
------
## Ejemplo 2: Permitir al usuario acceso completo a los recursos
En el siguiente ejemplo se concede acceso completo a los recursos de Amazon Rekognition.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"rekognition:*"
],
"Resource": "*"
}
]
}
```
------
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Ejemplos de políticas de Amazon Rekognition basadas en recursos
Etiquetas personalizadas de Amazon Rekognition utiliza políticas basadas en recursos, conocidas como *políticas de proyecto*, destinadas a gestionar los permisos de copia de la versión de un modelo.
La política de proyecto permite o deniega el permiso para que copie la versión de un modelo de un proyecto de origen en un proyecto de destino. Necesitará una política de proyecto si el proyecto de destino está en una AWS cuenta diferente o si desea restringir el acceso dentro de una AWS cuenta. Por ejemplo, puede que desee denegar los permisos de copia a una función de IAM específica. Para obtener más información, consulte [Copying a model](https://docs.aws.amazon.com/rekognition/latest/customlabels-dg/md-copy-model-overview.html).
## Concesión de permiso para copiar una versión de modelo
En el siguiente ejemplo, se permite a la entidad principal `arn:aws:iam::123456789012:role/Admin` para que copie la versión del modelo `arn:aws:rekognition:us-east-1:123456789012:project/my_project/version/test_1/1627045542080`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::123456789012:role/Admin"
},
"Action":"rekognition:CopyProjectVersion",
"Resource":"arn:aws:rekognition:us-east-1:123456789012:project/my_project/version/test_1/1627045542080"
}
]
}
```
------
# Solución de problemas de identidad y acceso de Amazon Rekognition
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que es posible que surjan cuando se trabaja con Amazon Rekognition e IAM.
**Topics**
+ [
## No tengo autorización para realizar una acción en Amazon Rekognition
](#security_iam_troubleshoot-no-permissions)
+ [
## No estoy autorizado a realizar lo siguiente: PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Soy administrador y deseo permitir que otros accedan a Amazon Rekognition
](#security_iam_troubleshoot-admin-delegate)
+ [
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Amazon Rekognition
](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en Amazon Rekognition
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM, `mateojackson`, intenta utilizar la consola para ver detalles sobre una *widget*, pero no tiene permisos `rekognition:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: rekognition:GetWidget on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `rekognition:GetWidget`.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, sus políticas deben actualizarse para permitirle pasar un rol a Amazon Rekognition.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado «`marymajor`» intenta utilizar la consola para llevar a cabo una acción en Amazon Rekognition. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Soy administrador y deseo permitir que otros accedan a Amazon Rekognition
Para permitir que otras personas accedan a Amazon Rekognition, debe conceder permiso a los usuarios o las aplicaciones que lo necesiten. Si usa AWS IAM Identity Center para administrar las personas y las aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
Si no utiliza IAM Identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debe asociar una política a la entidad que les conceda los permisos correctos en Amazon Rekognition. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos de Amazon Rekognition
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan políticas basadas en recursos o listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon Rekognition admite estas características, consulte [Cómo funciona Amazon Rekognition con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.