Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Explorador de recursos de AWS
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad de la nube y seguridad en la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que se ejecuta Servicios de AWS en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de cumplimiento que se aplican a Resource Explorer, consulte [Servicios de AWS Alcance by Compliance Program Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por lo Servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Explorador de recursos de AWS. Muestra cómo configurar Resource Explorer para satisfacer sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros Servicios de AWS que le ayuden a supervisar y proteger los recursos de Resource Explorer.
**Topics**
+ [Actualice IAM las políticas a IPv6](arex-security-ipv6-upgrade.md)
+ [Administración de identidades y accesos](security_iam.md)
+ [Protección de datos](data-protection.md)
+ [Validación de cumplimiento](compliance-validation.md)
+ [Resiliencia](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura](infrastructure-security.md)
# Actualice IAM las políticas a IPv6
Explorador de recursos de AWS los clientes utilizan IAM políticas para establecer un rango permitido de direcciones IP e impedir que cualquier dirección IP que esté fuera del rango configurado pueda acceder a Resource ExplorerAPIs.
El explorador de * recursos 2.*region**El dominio.api.aws en el que se aloja Resource Explorer APIs se está actualizando para admitir además de. IPv6 IPv4
Las políticas de filtrado de direcciones IP que no se actualizan para gestionar IPv6 las direcciones pueden provocar que los clientes pierdan el acceso a los recursos del dominio Resource Explorer. API
## Los clientes se ven afectados por la actualización de IPv4 a IPv6
Los clientes que utilizan el doble direccionamiento con políticas que *incluyen AWS: sourceIp* se ven afectados por esta actualización. El direccionamiento doble significa que la red admite IPv4 tanto comoIPv6.
Si utiliza el direccionamiento dual, debe actualizar IAM las políticas que están configuradas actualmente con direcciones de IPv4 formato para incluir las direcciones de IPv6 formato.
Para obtener ayuda con los problemas de acceso, póngase en contacto con [Soporte](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**nota**
Los siguientes clientes *no* se ven afectados por esta actualización:
Clientes que *solo utilizan* IPv4 redes.
Clientes que *solo utilizan* IPv6 redes.
## ¿Qué esIPv6?
IPv6es el estándar IP de próxima generación que se pretende reemplazar eventualmenteIPv4. La versión anterior,IPv4, utilizaba un esquema de direccionamiento de 32 bits para admitir 4.300 millones de dispositivos. IPv6en su lugar, utiliza un direccionamiento de 128 bits para admitir aproximadamente 340 billones de billones de billones de billones de dispositivos (o 2 a la 128ª potencia).
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
## Actualización de una política para IAM IPv6
IAMLas políticas se utilizan actualmente para establecer un rango permitido de direcciones IP mediante el `aws:SourceIp` filtro.
El direccionamiento dual admite tanto IPv4 el tráfico como IPV6 el tráfico. Si su red utiliza el direccionamiento dual, debe asegurarse de que todas IAM las políticas que se utilizan para el filtrado de direcciones IP se actualicen para incluir los rangos de IPv6 direcciones.
Por ejemplo, esta política de bucket de Amazon S3 identifica los rangos de IPv4 direcciones permitidos `192.0.2.0.*` y `203.0.113.0.*` en el `Condition` elemento.
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Para actualizar esta política, el `Condition` elemento de la política se actualiza para incluir los rangos de IPv6 direcciones `2001:DB8:1234:5678::/64` y`2001:cdba:3257:8593::/64`.
**nota**
Seleccione NOT REMOVE las IPv4 direcciones existentes porque son necesarias para la compatibilidad con versiones anteriores.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
Para obtener más información sobre cómo administrar los permisos de acceso conIAM, consulte [las políticas administradas y las políticas integradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) en la *Guía del AWS Identity and Access Management usuario*.
## Compruebe que su cliente puede dar soporte IPv6
Clientes que utilizan el *resource-explorer-2. Se recomienda al terminal \$1region\$1 .api.aws* que comprueben si sus clientes pueden acceder a otros puntos de enlace que ya estén habilitados. Servicio de AWS IPv6 En los siguientes pasos se describe cómo verificar esos puntos finales.
*Este ejemplo usa Linux y curl versión 8.6.0 y usa los puntos de enlace del [servicio Amazon Athena](https://docs.aws.amazon.com/general/latest/gr/athena.html), que IPv6 tiene puntos de enlace habilitados ubicados en el dominio api.aws.*
**nota**
Cambie a la misma región en la Región de AWS que se encuentra el cliente. En este ejemplo, utilizamos el `us-east-1` punto final EE.UU. Este (Norte de Virginia).
1. Determine si el punto final se resuelve con una IPv6 dirección mediante el siguiente comando curl.
```
dig +short AAAA athena.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
```
1. Determine si la red del cliente puede establecer una conexión IPv6 mediante el siguiente comando curl.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
response code: 404
```
Si se identificó una IP remota **y** el código de respuesta no`0`, significa que se estableció correctamente una conexión de red con el punto final medianteIPv6.
Si la IP remota está en blanco o el código de respuesta está en blanco`0`, la red del cliente o la ruta de red al punto final es IPv4 únicamente «-». Puede verificar esta configuración con el siguiente comando curl.
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 3.210.103.49
response code: 404
```
Si se identificó una IP remota **y** el código de respuesta no`0`, significa que se estableció correctamente una conexión de red al punto final medianteIPv4. La IP remota debe ser una IPv4 dirección porque el sistema operativo debe seleccionar el protocolo que sea válido para el cliente. Si la IP remota no es una IPv4 dirección, usa el siguiente comando para forzar a curl a usarlaIPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 35.170.237.34
response code: 404
```
# Administración de identidad y acceso para Explorador de recursos de AWS
AWS Identity and Access Management (IAM) es una Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. IAMlos administradores controlan quién puede *autenticarse (iniciar* sesión) y quién *está autorizado* (tiene permisos) para usar los recursos del Explorador de recursos. IAMes una Servicio de AWS que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración de acceso mediante políticas](#security_iam_access-manage)
+ [Cómo funciona Resource Explorer con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en identidad de Explorador de recursos de AWS](security_iam_id-based-policy-examples.md)
+ [Ejemplos de políticas de control de servicios para AWS Organizations y Resource Explorer](security_iam_scp.md)
+ [AWS políticas gestionadas para Explorador de recursos de AWS](security_iam_awsmanpol.md)
+ [Uso de roles vinculados a servicios para Resource Explorer](security_iam_service-linked-roles.md)
+ [Solución de problemas de Explorador de recursos de AWS permisos](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según el trabajo que se realice en el Explorador de recursos.
**Usuario de servicio**: si utiliza el servicio de Resource Explorer para realizar su trabajo, su administrador le proporciona las credenciales y los permisos que necesita. A medida que utilice más características de Resource Explorer para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarlo a solicitar los permisos correctos al administrador. Si no puede acceder a una característica en Resource Explorer, consulte [Solución de problemas de Explorador de recursos de AWS permisos](security_iam_troubleshoot.md).
**Administrador de servicio**: si está a cargo de los recursos de Resource Explorer en la empresa, probablemente tenga acceso completo a Resource Explorer. Su trabajo consiste en determinar a qué características y recursos de Resource Explorer deben acceder los usuarios del servicio. A continuación, debe enviar solicitudes a su IAM administrador para cambiar los permisos de los usuarios del servicio. Revise la información de esta página para comprender los conceptos básicos deIAM. Para obtener más información sobre cómo su empresa puede utilizar IAM Resource Explorer, consulte[Cómo funciona Resource Explorer con IAM](security_iam_service-with-iam.md).
**IAMadministrador**: si es IAM administrador, puede que desee obtener información detallada sobre cómo puede redactar políticas para administrar el acceso a Resource Explorer. Para ver ejemplos de políticas basadas en la identidad de Resource Explorer que puede utilizarIAM, consulte. [Ejemplos de políticas basadas en identidad de Explorador de recursos de AWS](security_iam_id-based-policy-examples.md)
## Autenticación con identidades
La autenticación es la forma de iniciar sesión AWS con sus credenciales de identidad. Debe estar *autenticado (con* quien haya iniciado sesión AWS) como IAM usuario o asumiendo un IAM rol. Usuario raíz de la cuenta de AWS
Puede iniciar sesión AWS como una identidad federada mediante las credenciales proporcionadas a través de una fuente de identidad. AWS IAM Identity Center Los usuarios (IAMIdentity Center), la autenticación de inicio de sesión único de su empresa y sus credenciales de Google o Facebook son ejemplos de identidades federadas. Al iniciar sesión como una identidad federada, el administrador configuró previamente la federación de identidades mediante roles. IAM Cuando accede AWS mediante la federación, asume indirectamente un rol.
Según el tipo de usuario que sea, puede iniciar sesión en el portal Consola de administración de AWS o en el de AWS acceso. Para obtener más información sobre cómo iniciar sesión AWS, consulte [Cómo iniciar sesión Cuenta de AWS en su](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) *Guía del AWS Sign-In usuario*.
Si accede AWS mediante programación, AWS incluye un kit de desarrollo de software (SDK) y una interfaz de línea de comandos (CLI) para firmar criptográficamente sus solicitudes con sus credenciales. Si no utilizas AWS herramientas, debes firmar las solicitudes tú mismo. Para obtener más información sobre cómo usar el método recomendado para firmar las solicitudes usted mismo, consulte [Firmar AWS API las solicitudes](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) en la *Guía del IAM usuario*.
Independientemente del método de autenticación que use, es posible que deba proporcionar información de seguridad adicional. Por ejemplo, le AWS recomienda que utilice la autenticación multifactorial (MFA) para aumentar la seguridad de su cuenta. *Para obtener más información, consulte [Autenticación multifactorial](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) en la *Guía del AWS IAM Identity Center usuario* y [Uso de la autenticación multifactorial (MFA) AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) la Guía del IAM usuario.*
### Cuenta de AWS usuario root
Al crear una Cuenta de AWS, comienza con una identidad de inicio de sesión que tiene acceso completo a todos Servicios de AWS los recursos de la cuenta. Esta identidad se denomina *usuario Cuenta de AWS raíz* y se accede a ella iniciando sesión con la dirección de correo electrónico y la contraseña que utilizaste para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de tareas que requieren que inicie sesión como usuario root, consulte [Tareas que requieren credenciales de usuario root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del IAM usuario*.
### Usuarios y grupos
Un *[IAMusuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad propia Cuenta de AWS que tiene permisos específicos para una sola persona o aplicación. Siempre que sea posible, recomendamos utilizar credenciales temporales en lugar de crear IAM usuarios con credenciales de larga duración, como contraseñas y claves de acceso. Sin embargo, si tiene casos de uso específicos que requieren credenciales a largo plazo con IAM los usuarios, le recomendamos que rote las claves de acceso. Para obtener más información, consulte [Rotar las claves de acceso con regularidad para los casos de uso que requieran credenciales de larga duración](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) en la *Guía del IAM usuario*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) es una identidad que especifica un conjunto de IAM usuarios. No puede iniciar sesión como grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los grupos facilitan la administración de los permisos para grandes conjuntos de usuarios. Por ejemplo, puede asignar un nombre a un grupo *IAMAdmins*y concederle permisos para administrar IAM los recursos.
Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación, pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienen credenciales de larga duración permanentes; no obstante, los roles proporcionan credenciales temporales. Para obtener más información, consulte [Cuándo crear un IAM usuario (en lugar de un rol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) en la *Guía del IAM usuario*.
### Roles
Un *[IAMrol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad dentro de ti Cuenta de AWS que tiene permisos específicos. Es similar a un IAM usuario, pero no está asociado a una persona específica. Puede asumir temporalmente un IAM rol en el Consola de administración de AWS [cambiando de rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Puede asumir un rol llamando a una AWS API operación AWS CLI o o utilizando una operación personalizadaURL. Para obtener más información sobre los métodos de uso de roles, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del IAM usuario*.
IAMlos roles con credenciales temporales son útiles en las siguientes situaciones:
+ **Acceso de usuario federado**: para asignar permisos a una identidad federada, puede crear un rol y definir sus permisos. Cuando se autentica una identidad federada, se asocia la identidad al rol y se le conceden los permisos define el rol. Para obtener información sobre los roles para la federación, consulte [Creación de un rol para un proveedor de identidad externo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del IAM usuario*. Si usa IAM Identity Center, configura un conjunto de permisos. Para controlar a qué pueden acceder sus identidades después de autenticarse, IAM Identity Center correlaciona el conjunto de permisos con un rol en. IAM Para obtener información acerca de los conjuntos de permisos, consulte [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ **Permisos IAM de usuario temporales**: un IAM usuario o rol puede asumir un IAM rol para asumir temporalmente diferentes permisos para una tarea específica.
+ **Acceso multicuenta**: puedes usar un IAM rol para permitir que alguien (un responsable de confianza) de una cuenta diferente acceda a los recursos de tu cuenta. Los roles son la forma principal de conceder acceso entre cuentas. Sin embargo, con algunos Servicios de AWS, puedes adjuntar una política directamente a un recurso (en lugar de usar un rol como proxy). *Para conocer la diferencia entre las funciones y las políticas basadas en recursos para el acceso multicuenta, consulta el tema sobre el acceso a los [recursos entre cuentas IAM en](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) la Guía del IAM usuario.*
+ **Acceso entre servicios**: algunos Servicios de AWS utilizan funciones en otros. Servicios de AWS Por ejemplo, cuando realizas una llamada en un servicio, es habitual que ese servicio ejecute aplicaciones en Amazon EC2 o almacene objetos en Amazon S3. Es posible que un servicio haga esto usando los permisos de la entidad principal, usando un rol de servicio o usando un rol vinculado al servicio.
+ **Sesiones de acceso directo (FAS)**: cuando utilizas un IAM usuario o un rol para realizar acciones en AWS ellas, se te considera director. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. FASutiliza los permisos del principal que llama a an Servicio de AWS, junto con los que solicitan, Servicio de AWS para realizar solicitudes a los servicios descendentes. FASlas solicitudes solo se realizan cuando un servicio recibe una solicitud que requiere interacciones con otros recursos Servicios de AWS o para completarse. En este caso, debe tener permisos para realizar ambas acciones. Para obtener información detallada sobre la política a la hora de realizar FAS solicitudes, consulte [Reenviar las sesiones de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ **Función de servicio**: una función de servicio es una [IAMfunción](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que un servicio asume para realizar acciones en su nombre. Un IAM administrador puede crear, modificar y eliminar un rol de servicio desde dentroIAM. Para obtener más información, consulte [Crear un rol para delegar permisos Servicio de AWS en un](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) rol en el *IAMManual del usuario*.
+ **Función vinculada a un servicio: una función** vinculada a un servicio es un tipo de función de servicio que está vinculada a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un IAM administrador puede ver los permisos de los roles vinculados al servicio, pero no editarlos.
+ **Aplicaciones que se ejecutan en Amazon EC2**: puedes usar un IAM rol para administrar las credenciales temporales de las aplicaciones que se ejecutan en una EC2 instancia y que realizan AWS CLI o AWS API solicitan. Esto es preferible a almacenar las claves de acceso dentro de la EC2 instancia. Para asignar un AWS rol a una EC2 instancia y ponerlo a disposición de todas sus aplicaciones, debe crear un perfil de instancia adjunto a la instancia. Un perfil de instancia contiene el rol y permite que los programas que se ejecutan en la EC2 instancia obtengan credenciales temporales. Para obtener más información, consulte [Uso de un IAM rol para conceder permisos a aplicaciones que se ejecutan en EC2 instancias de Amazon](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) en la *Guía del IAM usuario*.
Para saber si se deben usar IAM roles o IAM usuarios, consulte [Cuándo crear un IAM rol (en lugar de un usuario)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) en la *Guía del IAM usuario*.
## Administración de acceso mediante políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política es un objeto AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando un director (usuario, usuario raíz o sesión de rol) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan AWS como JSON documentos. Para obtener más información sobre la estructura y el contenido de los documentos de JSON políticas, consulte [Descripción general de JSON las políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del IAM usuario*.
Los administradores pueden usar AWS JSON las políticas para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Para conceder a los usuarios permiso para realizar acciones en los recursos que necesitan, un IAM administrador puede crear IAM políticas. A continuación, el administrador puede añadir las IAM políticas a las funciones y los usuarios pueden asumir las funciones.
IAMlas políticas definen los permisos para una acción independientemente del método que se utilice para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción `iam:GetRole`. Un usuario con esa política puede obtener información sobre el rol de Consola de administración de AWS AWS CLI, el o el AWS API.
### Políticas basadas en identidad
Las políticas basadas en la identidad son documentos de política de JSON permisos que se pueden adjuntar a una identidad, como un IAM usuario, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. *Para obtener información sobre cómo crear una política basada en la identidad, consulte [Creación de IAM políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la Guía del usuario. IAM*
Las políticas basadas en identidades pueden clasificarse además como *políticas insertadas* o *políticas administradas*. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Las políticas administradas son políticas independientes que puede adjuntar a varios usuarios, grupos y funciones de su empresa. Cuenta de AWS Las políticas administradas incluyen políticas AWS administradas y políticas administradas por el cliente. Para saber cómo elegir entre una política gestionada o una política integrada, consulte [Elegir entre políticas gestionadas y políticas integradas en la Guía del IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) *usuario*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de JSON política que se adjuntan a un recurso. Algunos ejemplos de políticas basadas en recursos son las políticas de *confianza de IAM roles y las políticas* de *bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política en función de recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puede usar políticas AWS administradas desde una política IAM basada en recursos.
Explorador de recursos de AWS no admite políticas basadas en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLsson similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de JSON políticas.
Amazon S3 AWS WAF y Amazon VPC son ejemplos de servicios compatiblesACLs. Para obtener más informaciónACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
Explorador de recursos de AWS no es compatibleACLs.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales y menos comunes. Estos tipos de políticas pueden establecer el máximo de permisos que los tipos de políticas más frecuentes le conceden.
+ **Límites** de permisos: un límite de permisos es una función avanzada en la que se establecen los permisos máximos que una política basada en la identidad puede conceder a una IAM entidad (IAMusuario o rol). Puede establecer un límite de permisos para una entidad. Los permisos resultantes son la intersección de las políticas basadas en la identidad de la entidad y los límites de permisos. Las políticas basadas en recursos que especifiquen el usuario o rol en el campo `Principal` no estarán restringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información sobre los límites de los permisos, consulte los [límites de los permisos para IAM las entidades](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la Guía del *IAMusuario*.
+ **Políticas de control de servicios (SCPs)**: SCPs son JSON políticas que especifican los permisos máximos para una organización o unidad organizativa (OU) en AWS Organizations. AWS Organizations es un servicio para agrupar y administrar de forma centralizada varios de los Cuentas de AWS que son propiedad de su empresa. Si habilitas todas las funciones de una organización, puedes aplicar políticas de control de servicios (SCPs) a una o a todas tus cuentas. SCPLimita los permisos de las entidades en las cuentas de los miembros, incluidas las de cada una Usuario raíz de la cuenta de AWS. Para obtener más información sobre OrganizationsSCPs, consulte las [políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión**: las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y las políticas de la sesión. Los permisos también pueden proceder de una política en función de recursos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información, consulte [las políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del IAM usuario*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del IAM usuario*.
# Cómo funciona Resource Explorer con IAM
Antes de administrar el IAM acceso a Explorador de recursos de AWS, debe comprender qué IAM funciones están disponibles para su uso con Resource Explorer. Para obtener una visión general de cómo Servicios de AWS funcionan Resource Explorer y otras herramientasIAM, consulte Servicios de AWS la *guía del IAM usuario sobre cómo [funcionan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) esas funciones*. IAM
**Topics**
+ [Políticas basadas en identidades de Resource Explorer](#security_iam_service-with-iam-id-based-policies)
+ [Autorización basada en etiquetas de Resource Explorer](#security_iam_service-with-iam-tags)
+ [IAMFunciones del explorador de recursos](#security_iam_service-with-iam-roles)
Como cualquier otro Servicio de AWS, el Explorador de recursos necesita permisos para utilizar sus operaciones e interactuar con los recursos. Para hacer una búsqueda, los usuarios deben tener permiso para recuperar los detalles de una vista y también para buscar mediante la vista. Para crear índices o vistas, o para modificarlos o modificar cualquier otra configuración de Resource Explorer, debe contar con permisos adicionales.
Asigne políticas IAM basadas en la identidad que concedan esos permisos a los directores correspondientesIAM. Resource Explorer proporciona [varias políticas administradas](security_iam_awsmanpol.md) que predefinen conjuntos de permisos comunes. Puede asignarlos a sus directores. IAM
## Políticas basadas en identidades de Resource Explorer
Con las políticas IAM basadas en la identidad, puede especificar las acciones permitidas o denegadas contra recursos específicos y las condiciones en las que se permiten o deniegan esas acciones. Resource Explorer admite acciones específicas, recursos y claves de condición. Para obtener más información sobre todos los elementos que se utilizan en una JSON política, consulte la [referencia sobre los elementos IAM JSON de la política](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la Guía del *IAMusuario*.
### Acciones
Los administradores pueden usar AWS JSON políticas para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El `Action` elemento de una JSON política describe las acciones que puede utilizar para permitir o denegar el acceso en una política. Las acciones de política suelen tener el mismo nombre que la AWS API operación asociada. Hay algunas excepciones, como las *acciones que solo permiten permisos* y que no tienen una operación coincidente. API También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan *acciones dependientes*.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de políticas en Resource Explorer utilizan el prefijo de servicio `resource-explorer-2` antes de la acción. Por ejemplo, para conceder a alguien permiso para buscar mediante una vista, con la `Search` API operación Resource Explorer, se incluye la `resource-explorer-2:Search` acción en una política asignada a esa entidad. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Resource Explorer define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio. Estas se alinean con las API operaciones del Explorador de recursos.
Para especificar varias acciones en una única instrucción, sepárelas con comas como se muestra en el siguiente ejemplo.
```
"Action": [
"resource-explorer-2:action1",
"resource-explorer-2:action2"
]
```
Puede especificar varias acciones utilizando caracteres comodín (`*`). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción.
```
"Action": "resource-explorer-2:Describe*"
```
Para ver una lista de las acciones de Resource Explorer, consulte [Acciones definidas por Explorador de recursos de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions) en la *Referencia de autorizaciones de servicio de AWS *.
### Recursos
Los administradores pueden usar AWS JSON políticas para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` JSON de política especifica el objeto o los objetos a los que se aplica la acción. Las instrucciones deben contener un elemento `Resource` o `NotResource`. Como práctica recomendada, especifique un recurso mediante su [nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Puede hacerlo para acciones que admitan un tipo de recurso específico, conocido como *permisos de nivel de recurso*.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
#### Visualización
El tipo de recurso principal de Resource Explorer es la *vista*.
El recurso de visualización del explorador de recursos tiene el siguiente ARN formato.
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```
El ARN formato del explorador de recursos se muestra en el siguiente ejemplo.
```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
**nota**
El ARN formulario para una vista incluye un identificador único al final para garantizar que cada vista sea única. Esto ayuda a garantizar que una IAM política que permitía el acceso a una vista anterior eliminada no se pueda utilizar para conceder accidentalmente el acceso a una nueva vista que tenga el mismo nombre que la vista anterior. Cada vista nueva recibe un identificador nuevo y único al final para garantizar que nunca ARNs se vuelva a utilizar.
Para obtener más información sobre el formato deARNs, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Utiliza políticas IAM basadas en la identidad asignadas a los IAM principales y especifica la vista como. `Resource` De este modo, podrá conceder el acceso de búsqueda a través de una vista a un conjunto de entidades principales y el acceso a través de una vista completamente diferente a un conjunto diferente de entidades principales.
Por ejemplo, para conceder permiso a una sola vista nombrada `ProductionResourcesView` en una declaración de IAM política, primero obtenga el [nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) de la vista. Puede utilizar la página **[Vistas](https://console.aws.amazon.com/resource-explorer/home#/views)** de la consola para ver los detalles de una vista o invocar la `[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)` operación para recuperar ARN la vista completa que desee. A continuación, inclúyala en una instrucción de política, como la que se muestra en el siguiente ejemplo, que concede permiso para modificar la definición de una sola vista.
```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/"
```
Para permitir las acciones en ***todas*** las vistas que pertenezcan a una cuenta específica, utilice el carácter comodín (`*`) en la parte correspondiente de la. ARN En el siguiente ejemplo, se concede permiso de búsqueda a todas las vistas en una Región de AWS y cuenta específica.
```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```
Algunas acciones de Resource Explorer, como `CreateView`, no se realizan en un recurso específico porque, como en el siguiente ejemplo, el recurso aún no existe. En esos casos, debe utilizar el carácter comodín (`*`) para todo el recurso. ARN
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```
Si especifica una ruta que termina en un carácter comodín, puede restringir la operación `CreateView` a la creación de vistas con solo la ruta aprobada. El siguiente ejemplo de política muestra cómo permitir que la entidad principal cree vistas solo en la ruta`view/ProductionViews/`.
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```
#### Índice
Otro tipo de recurso que puede utilizar para controlar el acceso a la funcionalidad de Resource Explorer es el índice.
La forma principal en la que puede interactuar con el índice es activar Resource Explorer en una Región de AWS mediante la creación de un índice en esa región. Después de eso, casi todo lo demás se hace interactuando con la vista.
Algo que puede hacer con el índice es controlar quién puede ***crear*** vistas en cada región.
**nota**
Tras crear una vista, IAM autoriza todas las demás acciones de visualización únicamente contra ARN la vista y no contra el índice.
El índice tiene una política de permisos a la [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)que puede hacer referencia. Un índice de Resource Explorer ARN tiene el siguiente formato.
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```
Consulte el siguiente ejemplo de un índice de Resource ExplorerARN.
```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```
Algunas acciones de Resource Explorer comprueban la autenticación con varios tipos de recursos. Por ejemplo, la [CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)operación autoriza tanto en el índice como en ARN la vista, tal y como ocurrirá después ARN de que Resource Explorer la cree. Para concederles a los administradores el permiso de administrar el servicio Resource Explorer, puede usar `"Resource": "*"` para autorizar acciones para cualquier recurso, índice o vista.
Como alternativa, puede restringir a una entidad principal para que solo pueda trabajar con recursos específicos de Resource Explorer. Por ejemplo, para limitar las acciones únicamente a los recursos del Explorador de recursos de una región específica, puede incluir una ARN plantilla que coincida tanto con el índice como con la vista, pero que incluya solo una región. En el siguiente ejemplo, solo ARN coincide con los índices o vistas de la `us-west-2` región de la cuenta especificada. Especifique la región en el tercer campo del campoARN, pero utilice un carácter comodín (\$1) en el último campo para que coincida con cualquier tipo de recurso.
```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```
Para obtener más información, consulte [Acciones definidas por Explorador de recursos de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio de AWS *. Para saber con qué acciones puede especificar cada recurso, consulte [Acciones definidas por Explorador de recursos de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions). ARN
### Claves de condición
Resource Explorer no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las [claves de contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del IAM usuario*.
Los administradores pueden usar AWS JSON políticas para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` (o *bloque* de `Condition`) permite especificar condiciones en las que entra en vigor una instrucción. El elemento `Condition` es opcional. Puede crear expresiones condicionales que utilicen [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de `Condition` en una instrucción o varias claves en un único elemento de `Condition`, AWS las evalúa mediante una operación `AND` lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una `OR` operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder a un IAM usuario permiso para acceder a un recurso solo si está etiquetado con su nombre de IAM usuario. Para obtener más información, consulte [los elementos IAM de la política: variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del IAM usuario*.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del *IAMusuario*.
Para ver una lista de las claves de condición que puede usar con Resource Explorer, consulte las [Claves de condición para Explorador de recursos de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys) en la *Referencia de autorización de servicio de AWS *. Para obtener más información sobre las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por Explorador de recursos de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).
### Ejemplos
Para ver ejemplos de políticas basadas en identidades de Resource Explorer, consulte [Ejemplos de políticas basadas en identidad de Explorador de recursos de AWS](security_iam_id-based-policy-examples.md).
## Autorización basada en etiquetas de Resource Explorer
Puede adjuntar etiquetas a las vistas de Resource Explorer o transferirlas en una solicitud a Resource Explorer. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `resource-explorer-2:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información acerca de cómo etiquetar los recursos de Resource Explorer, consulte [Agregar etiquetas a vistas](manage-views-tag.md). Para utilizar la autorización basada en etiquetas en Resource Explorer, consulte [Uso de una autorización basada en etiquetas para controlar el acceso a sus vistas](manage-views-grant-access.md#manage-views-grant-access-abac).
## IAMFunciones del explorador de recursos
Un [IAMrol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es un rol principal dentro de usted Cuenta de AWS que tiene permisos específicos.
### Uso de credenciales temporales con Resource Explorer
Puede usar credenciales temporales para iniciar sesión con la federación, asumir un IAM rol o asumir un rol multicuenta. Las credenciales de seguridad temporales se obtienen llamando a AWS Security Token Service (AWS STS) API operaciones como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Resource Explorer admite el uso de credenciales temporales
### Roles vinculados al servicio
Los [roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten acceder Servicios de AWS a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados al servicio aparecen en tu IAM cuenta y son propiedad del servicio. Un IAM administrador puede ver los permisos de los roles vinculados al servicio, pero no editarlos.
Resource Explorer utiliza roles vinculados a servicios para realizar su trabajo. Para obtener información detallada sobre los roles vinculados a servicios de Resource Explorer, consulte [Uso de roles vinculados a servicios para Resource Explorer](security_iam_service-linked-roles.md).
# Ejemplos de políticas basadas en identidad de Explorador de recursos de AWS
De forma predeterminada, las entidades principales de AWS Identity and Access Management (IAM), como los roles, los grupos y los usuarios, no tienen permiso para crear ni modificar los recursos de Resource Explorer. Tampoco pueden realizar tareas mediante la Consola de administración de AWS, la AWS Command Line Interface (AWS CLI) o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan permiso a las entidades principales para realizar determinadas operaciones de API en los recursos especificados que necesiten. Después, el administrador debe asignar esas políticas a las entidades principales de IAM que necesiten esos permisos.
Para proporcionar acceso, agregue permisos a sus usuarios, grupos o roles:
+ Usuarios y grupos de AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Create a permission set](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) (Creación de un conjunto de permisos) en la *Guía del usuario de AWS IAM Identity Center*.
+ Usuarios administrados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones de [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda asumir. Siga las instrucciones de [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones de [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de Resource Explorer](#security_iam_id-based-policy-examples-console)
+ [Otorgar acceso a una vista basada en etiquetas](#security_iam_id-based-policy-examples-abac-views)
+ [Otorgar acceso para crear una vista basada en etiquetas](#security_iam_id-based-policy-examples-abac-createview)
+ [Permitir a las entidades principales consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Resource Explorer de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidad:
+ **Comience con las políticas administradas por AWS y continúe con los permisos de privilegio mínimo**: a fin de comenzar a conceder permisos a los usuarios y las cargas de trabajo, utilice las *políticas administradas por AWS*, que conceden permisos para muchos casos de uso comunes. Están disponibles en la Cuenta de AWS. Se recomienda definir políticas administradas por el cliente de AWS específicas para sus casos de uso a fin de reducir aún más los permisos. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía de usuario de IAM*.
+ **Use condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de política para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede usar condiciones para conceder acceso a acciones de servicios si se emplean a través de un Servicio de AWS determinado, como por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política JSON de IAM: condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Use el Analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el Analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. IAM Access Analyzer proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para obtener más información, consulte la [política de validación del Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía de usuario de IAM*.
+ **Solicite la autenticación multifactor (MFA)**: si se encuentra en una situación en la que necesita usuarios raíz o de IAM en su Cuenta de AWS, active la MFA para mayor seguridad. Para solicitar la MFA cuando se invocan las operaciones de la API, agregue las condiciones de MFA a sus políticas. Para obtener más información, consulte [Configuración de acceso a una API protegida por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía de usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte las [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía de usuario de IAM*.
## Uso de la consola de Resource Explorer
Para que las entidades principales puedan realizar búsquedas en la consola de Explorador de recursos de AWS, deben tener un conjunto mínimo de permisos. Si usted no crea una política basada en identidad con los permisos mínimos necesarios, la consola de Resource Explorer no funcionará del modo esperado para las entidades principales de la cuenta.
Puede usar la política administrada de AWS llamada `AWSResourceExplorerReadOnlyAccess` para permitir el uso de la consola de Resource Explorer para realizar búsquedas con cualquier vista de la cuenta. Para conceder permisos de búsqueda con una sola vista, consulte [Otorgar acceso a las vistas de Resource Explorer para la búsqueda](manage-views-grant-access.md) y los ejemplos de las dos secciones siguientes.
No es necesario conceder permisos mínimos para la consola a las entidades principales que solo realizan llamadas a la AWS CLI o a la API de AWS. En su lugar, puede optar por conceder acceso solo a las acciones que coincidan con las operaciones de la API que deben realizar las entidades principales.
## Otorgar acceso a una vista basada en etiquetas
En este ejemplo, usted desea conceder acceso a una vista de Resource Explorer en su Cuenta de AWS a las entidades principales de la cuenta. Para hacerlo, asigne políticas de IAM basadas en la identidad a las entidades principales que desee poder buscar en Resource Explorer. El siguiente ejemplo de política de IAM permite el acceso a cualquier solicitud en la que la etiqueta del `Search-Group` adjunta a la entidad principal que realiza la llamada coincida exactamente con el valor de la misma etiqueta adjunta a la vista que se usó en la solicitud.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:GetView",
"resource-explorer-2:Search"
],
"Resource": "arn:aws:resource-explorer-2:*:*:view/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
}
}
]
}
```
También puede asignar esta política a las entidades principales de IAM en su cuenta. Si una entidad principal con la etiqueta `Search-Group=A` intenta realizar una búsqueda mediante una vista de Resource Explorer, la vista también debe tener la etiqueta `Search-Group=A`. Si no es así, se le denegará el acceso a la entidad principal. La clave de la etiqueta de condición `Search-Group` coincide con los nombres de las claves de condición `Search-group` y `search-group` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
**importante**
Para ver sus recursos en los resultados de búsqueda unificados en la Consola de administración de AWS, las entidades principales deben tener los permisos de `GetView` y `Search` para la vista predeterminada en Región de AWS que contiene el índice agregador. La forma más sencilla de conceder esos permisos es dejar el permiso basado en recursos predeterminado que estaba adjunto a la vista al activar Resource Explorer mediante la instalación rápida o avanzada.
En este caso, podría considerar configurar la vista predeterminada para filtrar los recursos confidenciales y, a continuación, configurar vistas adicionales a las que conceder acceso basado en etiquetas, como se describe en el ejemplo anterior.
## Otorgar acceso para crear una vista basada en etiquetas
En este ejemplo, le sugerimos permitir que solo las entidades principales que estén etiquetadas de la misma manera que el índice puedan crear vistas en la Región de AWS que contiene el índice. Para hacerlo, cree permisos basados en la identidad para permitir que las entidades principales realicen búsquedas con las vistas.
Ahora ya puede conceder permisos para crear una vista. Puede añadir las instrucciones de este ejemplo a la misma política de permisos que utiliza para conceder permisos `Search` a las entidades principales correspondientes. Las acciones se permiten o deniegan en función de las etiquetas adjuntas a las entidades principales que realizan la llamada a las operaciones y al índice a los que se va a asociar la vista. En el siguiente ejemplo, la política de IAM deniega cualquier solicitud para crear una vista cuando el valor de la etiqueta `Allow-Create-View` adjunta a la entidad principal del intermediario no coincide exactamente con el valor de la misma etiqueta adjunta al índice de la región en la que se crea la vista.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "resource-explorer-2:CreateView",
"Resource": "*",
"Condition": {
"StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
}
}
]
}
```
## Permitir a las entidades principales consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se adjuntan a la identidad de sus usuarios. Esta política incluye permisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la API de AWS.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Ejemplos de políticas de control de servicios para AWS Organizations y Resource Explorer
Explorador de recursos de AWS admite políticas de control de servicios (SCP). Las SCP son políticas que se asocian a elementos de una organización para administrar los permisos dentro de esa organización. Un SCP se aplica a todos los miembros Cuentas de AWS de una organización que estén [bajo el elemento al que se asocie el](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) SCP. Las políticas de control de servicios (SCP) permiten un control centralizado de los máximos permisos disponibles para todas las cuentas de la organización. Pueden ayudarlo a garantizar que se Cuentas de AWS mantenga dentro de las pautas de control de acceso de su organización. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) en la *Guía del usuario de AWS Organizations *.
## Requisitos previos
Para usar políticas de control de servicios, primero debe hacer lo siguiente:
+ Habilitar todas las características en la organización. Para obtener más información, consulte [Habilitar todas las características en la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) en la *Guía del usuario de AWS Organizations *.
+ Habilite las SCP para utilizar en su organización. Para obtener más información, consulte [Activación y desactivación de los tipos de políticas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) en la *Guía del usuario de AWS Organizations *.
+ Cree las SCP que sean necesarias. Para obtener más información sobre cómo crear SCP, consulte [ Crear y actualizar SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) en la *Guía del usuario de AWS Organizations *.
## Ejemplo de políticas de control de servicios
En el siguiente ejemplo, se muestra cómo puede utilizar el [control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) para controlar el acceso a las operaciones administrativas de Resource Explorer. Este ejemplo de política deniega el acceso a todas las operaciones de Resource Explorer, a excepción de los dos permisos necesarios para realizar búsquedas, `resource-explorer-2:Search` y `resource-explorer-2:GetView`, a menos que la entidad principal de IAM que realiza la solicitud reciba la etiqueta `ResourceExplorerAdmin=TRUE`. Para obtener una explicación más completa sobre el uso de ABAC con Resource Explorer, consulte [Uso de una autorización basada en etiquetas para controlar el acceso a sus vistas](manage-views-grant-access.md#manage-views-grant-access-abac).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resource-explorer-2:AssociateDefaultView",
"resource-explorer-2:BatchGetView",
"resource-explorer-2:CreateIndex",
"resource-explorer-2:CreateView",
"resource-explorer-2:DeleteIndex",
"resource-explorer-2:DeleteView",
"resource-explorer-2:DisassociateDefaultView",
"resource-explorer-2:GetDefaultView",
"resource-explorer-2:GetIndex",
"resource-explorer-2:ListIndexes",
"resource-explorer-2:ListSupportedResourceTypes",
"resource-explorer-2:ListTagsForResource",
"resource-explorer-2:ListViews",
"resource-explorer-2:TagResource",
"resource-explorer-2:UntagResource",
"resource-explorer-2:UpdateIndexType",
"resource-explorer-2:UpdateView""
],
"Resource": [
"*"
],
"Condition": {
"StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
}
]
}
```
# AWS políticas gestionadas para Explorador de recursos de AWS
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
**Políticas AWS administradas generales que incluyen permisos de Resource Explorer**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— Otorga acceso completo a los recursos Servicios de AWS y a los mismos.
+ [ReadOnlyAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess): otorga acceso de solo lectura a los recursos Servicios de AWS y recursos.
+ [ViewOnlyAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess): otorga permisos para ver los recursos y los metadatos básicos de. Servicios de AWS
**nota**
Los permisos de `Get*` de Resource Explorer incluidos en la política de `ViewOnlyAccess` funcionan igual que los permisos `List`, aunque solo devuelven un valor único ya que una región solo puede contener un índice y una vista predeterminada.
**AWS políticas administradas para Resource Explorer**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)
## AWS política gestionada: AWSResourceExplorerFullAccess
Puede asignar la política de `AWSResourceExplorerFullAccess` a las identidades de IAM.
Esta política otorga permisos que permiten un control administrativo total del servicio de Resource Explorer. Puede realizar todas las tareas relacionadas con la activación y la administración de Resource Explorer en las Regiones de AWS en su cuenta.
**Detalles de los permisos**
Esta política incluye permisos que permiten realizar todas las acciones del Explorador de recursos, como activar y desactivar el Explorador de recursos Regiones de AWS, crear o eliminar un índice agregador para la cuenta, crear, actualizar y eliminar vistas y realizar búsquedas. Esta política también incluye permisos que no forman parte de Resource Explorer:
+ `ec2:DescribeRegions`: permite a Resource Explorer acceder a información detallada sobre las regiones de su cuenta.
+ `ram:ListResources`: permite a Resource Explorer enumerar los recursos compartidos de los que forman parte los recursos.
+ `ram:GetResourceShares`: permite a Resource Explorer identificar detalles sobre los recursos compartidos que le pertenecen o que se comparten con usted.
+ `iam:CreateServiceLinkedRole`: permite a Resource Explorer crear el rol vinculado al servicio necesario al [activar Resource Explorer mediante la creación del primer índice](manage-service-turn-on-region.md#manage-service-turn-on-region-region).
+ `organizations:DescribeOrganization`: permite a Resource Explorer acceder a información sobre su organización.
Para ver la versión más reciente de esta política AWS administrada, consulte la *Guía `[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)` de referencia de políticas AWS administradas*.
## AWS política gestionada: AWSResourceExplorerReadOnlyAccess
Puede asignar la política de `AWSResourceExplorerReadOnlyAccess` a las identidades de IAM.
Esta política concede permisos de solo lectura que brindan a los usuarios acceso a búsqueda básica para divulgar sus recursos.
**Detalles de los permisos**
Esta política incluye permisos que les permiten a los usuarios utilizar las operaciones de `Get*`, `List*` y `Search` de Resource Explorer para ver información sobre los componentes y los ajustes de configuración de Resource Explorer, pero no permite que los usuarios los cambien. Los usuarios también pueden realizar búsquedas. Esta política también incluye dos permisos que no forman parte de Resource Explorer:
+ `ec2:DescribeRegions`: permite a Resource Explorer acceder a información detallada sobre las regiones de su cuenta.
+ `ram:ListResources`: permite a Resource Explorer enumerar los recursos compartidos de los que forman parte los recursos.
+ `ram:GetResourceShares`: permite a Resource Explorer identificar detalles sobre los recursos compartidos que le pertenecen o que se comparten con usted.
+ `organizations:DescribeOrganization`: permite a Resource Explorer acceder a información sobre su organización.
Para ver la versión más reciente de esta política AWS gestionada, consulte `[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)` la *Guía de referencia de políticas AWS gestionadas*.
## AWS política gestionada: AWSResourceExplorerServiceRolePolicy
No puede adjuntar `AWSResourceExplorerServiceRolePolicy` a ninguna entidad IAM usted mismo. Esta política puede estar adjunta solamente a un rol vinculado a servicios que permita a Resource Explorer realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios para Resource Explorer](security_iam_service-linked-roles.md).
Esta política concede los permisos necesarios para que Resource Explorer recupere información sobre sus recursos. El explorador de recursos rellena los índices que mantiene en cada uno de los Región de AWS que registre.
Para ver la versión más reciente de esta política AWS administrada, consulte `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` en la consola de IAM.
## AWS política gestionada: AWSResourceExplorerOrganizationsAccess
Puede asignar `AWSResourceExplorerOrganizationsAccess` a sus identidades de IAM.
Esta política otorga permisos administrativos al Explorador de recursos y otorga permisos de solo lectura a otros Servicios de AWS para respaldar este acceso. El AWS Organizations administrador necesita estos permisos para configurar y administrar la búsqueda de varias cuentas en la consola.
**Detalles de los permisos**
Esta política incluye permisos que les permiten a los administradores configurar la búsqueda de varias cuentas para la organización:
+ `ec2:DescribeRegions`: permite a Resource Explorer acceder a información detallada sobre las regiones de su cuenta.
+ `ram:ListResources`: permite a Resource Explorer enumerar los recursos compartidos de los que forman parte los recursos.
+ `ram:GetResourceShares`: permite que Resource Explorer identifique detalles sobre los recursos compartidos que le pertenecen o que se comparten con usted.
+ `organizations:ListAccounts`: permite a Resource Explorer identificar las cuentas dentro de una organización.
+ `organizations:ListRoots`: permite a Resource Explorer identificar las cuentas raíz dentro de una organización.
+ `organizations:ListOrganizationalUnitsForParent`: permite a Resource Explorer identificar las unidades organizativas (UO) de una unidad organizativa principal o raíz.
+ `organizations:ListAccountsForParent`: permite a Resource Explorer identificar las cuentas de una organización que se encuentran contenidas en la raíz de destino especificada o en una UO.
+ `organizations:ListDelegatedAdministrators`— Permite que Resource Explorer identifique las AWS cuentas designadas como administradores delegados en esta organización.
+ `organizations:ListAWSServiceAccessForOrganization`— Permite a Resource Explorer identificar una lista de las Servicios de AWS que están habilitadas para integrarse con su organización.
+ `organizations:DescribeOrganization`: permite a Resource Explorer recuperar información sobre la organización a la que pertenece la cuenta del usuario.
+ `organizations:EnableAWSServiceAccess`— Permite que Resource Explorer habilite la integración de un Servicio de AWS (el servicio especificado por`ServicePrincipal`) con AWS Organizations.
+ `organizations:DisableAWSServiceAccess`— Permite que Resource Explorer deshabilite la integración de un Servicio de AWS (el servicio especificado por ServicePrincipal) con AWS Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Permite que Resource Explorer habilite la cuenta de miembro especificada para administrar las funciones de la organización del AWS servicio especificado.
+ `organizations:DeregisterDelegatedAdministrator`— Permite a Resource Explorer eliminar al miembro especificado Cuenta de AWS como administrador delegado del miembro especificado Servicio de AWS.
+ `iam:GetRole`: permite a Resource Explorer recuperar información sobre el rol especificado, incluidos la ruta del rol, GUID, ARN y la política de confianza del rol que concede permiso para asumirlo.
+ `iam:CreateServiceLinkedRole`: permite a Resource Explorer crear el rol vinculado al servicio necesario al [activar Resource Explorer mediante la creación del primer índice](manage-service-turn-on-region.md#manage-service-turn-on-region-region).
Para ver la versión más reciente de esta política AWS gestionada, consulte `[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)` en la consola de IAM.
## Resource Explorer actualiza las políticas AWS administradas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas para Resource Explorer desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [historial de documentos de Resource Explorer](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)- Se actualizaron los permisos de las políticas para ver otros tipos de recursos | Resource Explorer agregó permisos a la política de roles vinculados al servicio [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)que permiten a Resource Explorer ver otros tipos de recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 12 de diciembre de 2023 |
| Nueva política administrada por | Resource Explorer agregó la siguiente política AWS administrada: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 14 de noviembre de 2023 |
| Actualización de la políticas administradas | Resource Explorer actualizó las siguientes políticas AWS administradas para permitir la búsqueda en varias cuentas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 14 de noviembre de 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Política actualizada para admitir la búsqueda de múltiples cuentas con Organizations | Resource Explorer agregó permisos a la política de roles vinculados al servicio `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` que permite que Resource Explorer admita la búsqueda en varias cuentas con Organizations: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 14 de noviembre de 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Política actualizada para admitir tipos de recursos adicionales | Resource Explorer agregó permisos a la política de roles vinculados al servicio de `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` que permiten al servicio indexar los siguientes tipos de recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 17 de octubre de 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Política actualizada para admitir tipos de recursos adicionales | Resource Explorer agregó permisos a la política de roles vinculados al servicio de `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` que permiten al servicio indexar los siguientes tipos de recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 1 de agosto de 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Política actualizada para admitir tipos de recursos adicionales | Resource Explorer agregó permisos a la política de roles vinculados al servicio de `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` que permiten al servicio indexar los siguientes tipos de recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 7 de marzo de 2023 |
| Nuevas políticas administradas | Resource Explorer agregó las siguientes políticas AWS administradas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 7 de noviembre de 2022 |
| Resource Explorer comenzó hacer seguimiento de los cambios | Resource Explorer comenzó a realizar un seguimiento de los cambios de sus políticas AWS administradas. | 7 de noviembre de 2022 |
# Uso de roles vinculados a servicios para Resource Explorer
Explorador de recursos de AWS usa AWS Identity and Access Management (IAM) roles [vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Un rol vinculado a un servicio es un tipo único de IAM rol que está vinculado directamente al Explorador de recursos. Resource Explorer predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otras Servicios de AWS personas en su nombre.
Un rol vinculado a un servicio simplifica la configuración de Resource Explorer porque ya no tendrá que agregar manualmente los permisos necesarios. Resource Explorer define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo puede asumir sus roles. Los permisos definidos incluyen tanto la política de confianza como la política de permisos, y esa política de permisos no se puede asignar a ninguna otra IAM entidad.
Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los [AWS servicios con los que funcionan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del *IAMusuario*. Allí, busque los servicios para los que se indique **Sí** en la columna **Roles vinculados a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
## Permisos de roles vinculados a servicios para Resource Explorer
Resource Explorer usa el rol vinculado a servicios denominado `AWSServiceRoleForResourceExplorer`. Esta función otorga permisos al servicio Resource Explorer para ver los recursos y AWS CloudTrail eventos que usted tiene Cuenta de AWS en su nombre e indexar esos recursos para facilitar las búsquedas.
El rol vinculado a un servicio de `AWSServiceRoleForResourceExplorer` confía solo en el servicio con la siguiente entidad principal para que asuma el rol:
+ `resource-explorer-2.amazonaws.com`
La política de permisos de roles denominada AWSResourceExplorerServiceRolePolicy permite el acceso de solo lectura al Explorador de recursos para recuperar los nombres y propiedades de los recursos compatibles AWS . Para ver los servicios y recursos que Resource Explorer admite, consulte [Tipos de recursos que puede buscar con Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html). Para ver la lista completa de todas las acciones que puede realizar este rol, puede ver la `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` política en la IAM consola.
Un principal es una IAM entidad, como un usuario, un grupo o un rol. Si deja que Resource Explorer cree el rol vinculado al servicio por usted al crear el índice en la primera región de la cuenta, entonces la entidad principal que realice la tarea solo necesitará los permisos necesarios para crear el índice de Resource Explorer. Para crear el rol vinculado al servicio manualmente medianteIAM, el principal que realice la tarea debe tener permiso para crear un rol vinculado al servicio. *Para obtener más información, consulte los permisos de los [roles vinculados a un servicio en la Guía](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) del usuario. IAM*
## Creación de un rol vinculado a un servicio para Resource Explorer
No necesita crear manualmente un rol vinculado a servicios. Cuando activas el Explorador de recursos en la Consola de administración de AWS cuenta o [CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html)ejecutas la primera Región de AWS función de tu cuenta con una AWS CLI o una AWS API, el Explorador de recursos crea automáticamente la función vinculada al servicio.
Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando estés [RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)en la primera región de tu cuenta, el Explorador de recursos volverá a crear el rol vinculado al servicio para ti.
## Edición de un rol vinculado a un servicio para Resource Explorer
Resource Explorer no le permite modificar el rol vinculado al servicio de `AWSServiceRoleForResourceExplorer`. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte [Edición de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la Guía del *IAMusuario*.
## Cómo eliminar un rol vinculado a un servicio para Resource Explorer
Puede usar la IAM consola, la o la AWS CLI para eliminar manualmente la AWS API función vinculada al servicio. Para ello, primero debe eliminar los índices del explorador de recursos de todas Región de AWS las cuentas y, a continuación, puede eliminar manualmente el rol vinculado al servicio.
**nota**
Si el servicio de Resource Explorer está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría arrojar un error. En ese caso, asegúrese de eliminar todos los índices de todas las regiones, espere unos minutos e intente nuevamente completar la operación.
**Para eliminar manualmente el rol vinculado al servicio mediante IAM**
Utilice la IAM consola AWS CLI, la o la AWS API para eliminar la función vinculada al `AWSServiceRoleForResourceExplorer` servicio. *Para obtener más información, consulte [Eliminar un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la Guía del usuario. IAM*
## Regiones admitidas para los roles vinculados a servicios de Resource Explorer
Resource Explorer admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte los [puntos de conexión de Servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) en la *Referencia general de Amazon Web Services*.
# Solución de problemas de Explorador de recursos de AWS permisos
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con Resource Explorer y AWS Identity and Access Management (IAM).
**Topics**
+ [No tengo autorización para realizar una acción en Resource Explorer](#security_iam_troubleshoot-no-permissions)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos del Explorador de recursos](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en Resource Explorer
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con el administrador para obtener ayuda. Su administrador es quien le proporcionó las credenciales que utilizó para intentar esta operación.
En el siguiente ejemplo, el error se produce cuando alguien asume el rol de IAM `MyExampleRole` e intenta utilizar la consola para ver detalles sobre una vista, pero no tiene permisos `resource-explorer-2:GetView`.
```
User: arn:aws:iam::123456789012:role/MyExampleRole is not authorized to perform: resource-explorer-2:GetView on resource: arn:aws:resource-explorer-2:us-east-1:123456789012:view/EC2-Only-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
En este caso, la persona que utilice el rol deberá pedirle al administrador que actualice las políticas de permisos del rol para permitir el acceso a la vista mediante la acción `resource-explorer-2:GetView`.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos del Explorador de recursos
Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso (ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.
Para más información, consulte lo siguiente:
+ Para saber si Resource Explorer admite estas características, consulte [Cómo funciona Resource Explorer con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas, consulte [Cross account resource access in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) (Acceso a los recursos para cuentas cruzadas en IAM) en la *Guía del usuario de IAM*.
# Protección de datos en Explorador de recursos de AWS
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en Explorador de recursos de AWS. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Usted también es responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte la sección [Privacidad de datos FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte el [modelo de responsabilidad AWS compartida y](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) la entrada del GDPR *blog sobre AWS seguridad*.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utilice la autenticación multifactorial (MFA) con cada cuenta.
+ UseSSL/TLSpara comunicarse con AWS los recursos. Necesitamos TLS 1.2 y recomendamos TLS 1.3.
+ Configure API y registre la actividad del usuario con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita entre FIPS 140 y 3 módulos criptográficos validados para acceder a AWS través de una interfaz de línea de comandos o unaAPI, utilice un FIPS terminal. Para obtener más información sobre los FIPS puntos finales disponibles, consulte la [Norma federal de procesamiento de información () FIPS 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con el Explorador de recursos u otro tipo Servicios de AWS mediante la consola, API AWS CLI, o. AWS SDKs Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya información sobre las credenciales URL para validar la solicitud a ese servidor.
## Cifrado en reposo
Los datos que almacena Resource Explorer incluyen la lista indexada de los recursos y sus recursos asociados ARNs que utiliza el cliente, así como las vistas para acceder a ellos.
Estos datos se cifran cuando están en reposo mediante [AWS Key Management Service (AWS KMS) claves de cifrado simétricas](https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default) que implementan el [estándar de cifrado avanzado (AES)](https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf) en [modo contador de Galois (GCM) con claves de 256 bits (](http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf)-256-). AES GCM
## Cifrado en tránsito
Las solicitudes de los clientes y todos los datos asociados se cifran en tránsito mediante [Transport Later Security () TLS 1.2 o una versión posterior](https://datatracker.ietf.org/doc/html/rfc5246). Todos los puntos finales de Resource Explorer admiten HTTPS el cifrado de los datos en tránsito. Para obtener una lista completa de los puntos de conexión del servicio de Resource Explorer, consulte [Puntos de conexión de Explorador de recursos de AWS y las cuotas](https://docs.aws.amazon.com/general/latest/gr/resourceexplorer2.html) en la *Referencia general de AWS*.
# Validación de conformidad en Explorador de recursos de AWS
Para saber si un Servicio de AWS se encuentra dentro del ámbito de aplicación de los programas de cumplimiento específicos, consulte [ los Servicios de AWS en el ámbito del programa de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/). Para obtener información general, consulte los [ Programas de cumplimiento deAWS](https://aws.amazon.com/compliance/programs/).
Puede descargar los informes de auditoría de terceros mediante AWS Artifact. Para obtener más información, consulte la [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) en la * Guía del usuario de AWS Artifact*.
Su responsabilidad de conformidad al usar Resource Explorer se encuentra determinada por la confidencialidad de los datos, los objetivos de cumplimiento de su empresa y las leyes y regulaciones aplicables. AWS brinda los siguientes recursos para ayudarlo con los requisitos de conformidad:
+ [Security and Compliance Quick Start Guides](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) (Guías de inicio rápido de seguridad y conformidad) (Guías de inicio rápido de seguridad y conformidad): Estas guías de implementación analizan las consideraciones en materia de arquitectura y proporcionan los pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.
+ [Architecting for HIPAA Security and Compliance on Amazon Web Services ](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) (Arquitectura para la seguridad y el cumplimiento de la HIPAA en Amazon Web Services): en este documento técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones compatibles con HIPAA.
**nota**
No todos los Servicios de AWS son compatibles con HIPAA. Para obtener más información, consulte la [Referencia de servicios aptos para HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference).
+ [Recursos de conformidad de AWS](https://aws.amazon.com/compliance/resources/): este conjunto de manuales y guías podría aplicarse a su sector y ubicación.
+ [Evaluación de recursos con reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) en la *Guía para desarrolladores de AWS Config*: AWS Config evalúa en qué medida las configuraciones de sus recursos cumplen las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): este servicio de AWS proporciona una vista integral de su estado de seguridad en AWS que lo ayuda a verificar si cumple con los estándares y las buenas prácticas de seguridad de la industria.
# Resiliencia en Explorador de recursos de AWS
La infraestructura global se AWS construye en torno a las Regiones de AWS y a las zonas de disponibilidad. Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja demora. Mediante las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
Para obtener más información sobre las Regiones de AWS y las zonas de disponibilidad, consulte la [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
# Seguridad de la infraestructura en Explorador de recursos de AWS
Como servicio gestionado, Explorador de recursos de AWS está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
APILas llamadas AWS publicadas se utilizan para acceder a Resource Explorer a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Necesitamos TLS 1.2 y recomendamos TLS 1.3.
+ Cifre suites con perfecto secreto (PFS), como (Ephemeral Diffie-Hellman) o DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben firmarse con un identificador de clave de acceso y una clave de acceso secreta asociada a un director. IAM También puede utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Para obtener más información sobre los procedimientos de seguridad de la red AWS global, consulte el documento técnico [Amazon Web Services: descripción general de los procesos de seguridad](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).