Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity and Access Management en AWS Service Catalog
El acceso a las credenciales AWS Service Catalog requeridas. Esas credenciales deben tener permiso para acceder a AWS los recursos, como una AWS Service Catalog cartera o un producto. AWS Service Catalog se integra con AWS Identity and Access Management (IAM) para permitir conceder a AWS Service Catalog los administradores los permisos que necesitan para crear y gestionar productos, y conceder a los usuarios AWS Service Catalog finales los permisos que necesitan para lanzar productos y gestionar los productos aprovisionados. Estas políticas las crean y administran los administradores y los usuarios finales, AWS o de forma individual. Para controlar el acceso, se adjuntan las políticas a los usuarios, grupos y funciones que se utilizan con AWS Service Catalog.
## Público
Los permisos que tiene *a través* de AWS Identity and Access Management (IAM) pueden depender del rol que desempeñe en AWS Service Catalog.
Los permisos que tiene *a través* de AWS Identity and Access Management (IAM) pueden depender del rol que desempeñe en AWS Service Catalog.
**Administrador**: como AWS Service Catalog administrador, necesita acceso completo a la consola de administración y permisos de IAM que le permitan realizar tareas como la creación y administración de carteras y productos, la gestión de las restricciones y la concesión de acceso a los usuarios finales.
**Usuario final**: antes de que los usuarios finales puedan utilizar sus productos, debe concederles permisos que les permitan acceder a la consola de usuario AWS Service Catalog final. También pueden tener permiso para lanzar productos y administrar productos aprovisionados.
**Administrador de IAM**: si es un administrador de IAM, es posible que quiera conocer más detalles sobre cómo escribir políticas para administrar el acceso a AWS Service Catalog. Para ver ejemplos de políticas AWS Service Catalog basadas en la identidad que puede utilizar en IAM, consulte. [AWS políticas administradas para AWS Service Catalog AppRegistry](security-iam-awsmanpol.md)
# Ejemplos de políticas basadas en la identidad para AWS Service Catalog
**Topics**
+ [Acceso a la consola para los usuarios finales](#permissions-end-users-console)
+ [Acceso a los productos para los usuarios finales](#permissions-end-users-product)
+ [Ejemplos de políticas para administrar productos aprovisionados](#example-policies)
## Acceso a la consola para los usuarios finales
Las políticas ****`AWSServiceCatalogEndUserFullAccess`**** y ****`AWSServiceCatalogEndUserReadOnlyAccess`**** conceden acceso a la vista de consola de usuario final de AWS Service Catalog . Cuando un usuario que tiene alguna de estas políticas elige, AWS Service Catalog en la vista de la consola del usuario final Consola de administración de AWS, los productos para los que tiene permiso de lanzamiento.
Antes de que los usuarios finales puedan lanzar correctamente un producto AWS Service Catalog al que les das acceso, debes proporcionarles permisos de IAM adicionales para que puedan utilizar cada uno de los AWS recursos subyacentes de la AWS CloudFormation plantilla de un producto. Por ejemplo, si una plantilla de producto incluye Amazon Relational Database Service (Amazon RDS), debe conceder a los usuarios permisos de Amazon RDS para lanzar el producto.
Para obtener más información sobre cómo permitir a los usuarios finales lanzar productos y, al mismo tiempo, aplicar los permisos de acceso mínimo a los recursos, consulte. AWS [Uso de AWS Service Catalog restricciones](constraints.md)
Si aplica la política **`AWSServiceCatalogEndUserReadOnlyAccess`**, los usuarios tendrán acceso a la consola del usuario final, pero no contarán con los permisos necesarios para lanzar productos y administrar productos aprovisionados. Puedes conceder estos permisos directamente a un usuario final mediante IAM, pero si quieres limitar el acceso de los usuarios finales a los AWS recursos, debes asociar la política a una función de lanzamiento. A continuación, se utiliza AWS Service Catalog para aplicar la función de lanzamiento a una restricción de lanzamiento del producto. Para obtener más información sobre la aplicación de funciones de lanzamiento, las limitaciones de estas últimas y un ejemplo de función de lanzamiento, consulte [AWS Service Catalog Restricciones de lanzamiento](constraints-launch.md).
**nota**
Si concede a los usuarios permisos de IAM para los AWS Service Catalog administradores, aparecerá en su lugar la vista de la consola de administración. No conceda a los usuarios finales estos permisos a menos que desee que tengan acceso a la vista de la consola del administrador.
## Acceso a los productos para los usuarios finales
Antes de que los usuarios finales puedan utilizar un producto al que usted da acceso, debe proporcionarles permisos de IAM adicionales para que puedan utilizar cada uno de AWS los recursos subyacentes de la plantilla de CloudFormation un producto. Por ejemplo, si una plantilla de producto incluye Amazon Relational Database Service (Amazon RDS), debe conceder a los usuarios permisos de Amazon RDS para lanzar el producto.
Si aplica la política **`AWSServiceCatalogEndUserReadOnlyAccess`**, los usuarios tendrán acceso a la vista de la consola del usuario final, pero no contarán con los permisos necesarios para lanzar productos y administrar productos aprovisionados. Puedes conceder estos permisos directamente a un usuario final en IAM, pero si quieres limitar el acceso de los usuarios finales a los AWS recursos, debes adjuntar la política a una función de lanzamiento. A continuación, se utiliza AWS Service Catalog para aplicar la función de lanzamiento a una restricción de lanzamiento del producto. Para obtener más información sobre la aplicación de funciones de lanzamiento, las limitaciones de estas últimas y un ejemplo de función de lanzamiento, consulte [AWS Service Catalog Restricciones de lanzamiento](constraints-launch.md).
## Ejemplos de políticas para administrar productos aprovisionados
Puede crear políticas personalizadas para ayudar a satisfacer los requisitos de seguridad de su organización. En los ejemplos siguientes se describe cómo personalizar el nivel de acceso a cada acción para los usuarios, roles y cuentas. Puede conceder acceso a los usuarios para consultar, actualizar, terminar y administrar solamente los productos aprovisionados que ha creado ese usuario o que otros han creado con su rol o desde la cuenta en la que han iniciado sesión. Este acceso es jerárquico, es decir, la concesión de acceso en el nivel de cuenta también concede acceso en los niveles de función y de usuario, mientras que agregar el acceso en el nivel de función también concede acceso en el nivel de usuario, pero no en el nivel de cuenta. Puede especificarlos en el JSON de la política mediante un bloque `Condition` como `accountLevel`, `roleLevel` o `userLevel`.
Estos ejemplos también se aplican a los niveles de acceso de las operaciones de escritura de la AWS Service Catalog API: `UpdateProvisionedProduct` y`TerminateProvisionedProduct`, y, las operaciones de lectura: `DescribeRecord``ScanProvisionedProducts`, y`ListRecordHistory`. Las operaciones `ScanProvisionedProducts` y `ListRecordHistory` de la API utilizan `AccessLevelFilterKey` como entrada y los valores de esa clave se corresponden con los niveles del bloque `Condition` que abordamos aquí (`accountLevel` equivale al valor "Account" de `AccessLevelFilterKey`, `roleLevel` al valor "Role" y `userLevel` al valor "User"). Para obtener más información, consulte la [Guía para desarrolladores de Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/dg/).
**Topics**
+ [Acceso pleno de administración a los productos aprovisionados](#full-admin)
+ [Acceso de usuario final a los productos aprovisionados](#examples-end-user)
+ [Acceso parcial de administración a los productos aprovisionados](#partial-admin)
### Acceso pleno de administración a los productos aprovisionados
La siguiente política permite acceso pleno de lectura y escritura a los productos aprovisionados y a los registros del catálogo en el nivel de cuenta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
Esta política equivale funcionalmente a la siguiente política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*"
}
]
}
```
------
No especificar un `Condition` bloque en ninguna política para AWS Service Catalog se trata de la misma manera que especificar el `"servicecatalog:accountLevel"` acceso. Tenga en cuenta que el acceso `accountLevel` incluye los accesos `roleLevel` y `userLevel`.
### Acceso de usuario final a los productos aprovisionados
La siguiente política restringe el acceso a las operaciones de lectura y escritura exclusivamente a los productos aprovisionados y a los registros asociados creados por el usuario actual.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ListRecordHistory",
"servicecatalog:ProvisionProduct",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
### Acceso parcial de administración a los productos aprovisionados
Las dos políticas que aparecen a continuación, si se aplican al mismo usuario, permiten lo que podríamos denominar un tipo de acceso de administrador "parcial", pues proporcionan acceso pleno de solo lectura y acceso de escritura limitado. Esto significa que el usuario puede consultar cualquier producto aprovisionado o registro asociado en la cuenta del catálogo, pero no puede realizar ninguna acción en ningún producto aprovisionado ni registro que no sean de su propiedad.
La primera política permite al usuario obtener acceso a las operaciones de escritura en los productos aprovisionados que el propio usuario actual ha creado, pero no a los que han creado otros usuarios. La segunda política agrega acceso pleno a las operaciones de lectura en los productos aprovisionados creados por todos (usuario, función o cuenta).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeRecord",
"servicecatalog:ListRecordHistory",
"servicecatalog:ScanProvisionedProducts"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
# AWS políticas administradas para AWS Service Catalog AppRegistry
## AWS política gestionada: `AWSServiceCatalogAdminFullAccess`
Puede adjuntarla `AWSServiceCatalogAdminFullAccess` a sus entidades de IAM. AppRegistry también vincula esta política a un rol de servicio que le permite AppRegistry realizar acciones en su nombre.
Esta política otorga *administrative* permisos que permiten el acceso total a la vista de la consola de administración y otorga permisos para crear y administrar productos y carteras.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `servicecatalog`— Permite a los directores disponer de todos los permisos necesarios para acceder a la consola de administración, así como la posibilidad de crear y gestionar carteras y productos, gestionar las restricciones, conceder acceso a los usuarios finales y realizar otras tareas administrativas desde dentro. AWS Service Catalog
+ `cloudformation`— Permite disponer de AWS Service Catalog todos los permisos necesarios para enumerar, leer, escribir y etiquetar AWS CloudFormation pilas.
+ `config`— Permite permisos AWS Service Catalog limitados a carteras, productos y productos aprovisionados mediante. AWS Config
+ `iam`: concede a las entidades principales todos los permisos necesarios para ver y crear los usuarios, grupos o roles del servicio necesarios para crear y administrar productos y carteras.
+ `ssm`— Permite AWS Service Catalog AWS Systems Manager enumerar y leer los documentos de Systems Manager en la AWS cuenta corriente y AWS la región.
Consulte la política: [AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html).
## AWS política gestionada: `AWSServiceCatalogAdminReadOnlyAccess`
Puede adjuntarla `AWSServiceCatalogAdminReadOnlyAccess` a sus entidades de IAM. AppRegistry también vincula esta política a un rol de servicio que le permite AppRegistry realizar acciones en su nombre.
Esta política otorga *read-only* permisos que permiten el acceso total a la vista de la consola de administración. Esta política no concede acceso para crear ni administrar productos y carteras.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `servicecatalog`: permite a las entidades principales permisos de solo lectura para acceder a la vista de la consola de administración.
+ `cloudformation`— Permite permisos AWS Service Catalog limitados para enumerar y leer AWS CloudFormation pilas.
+ `config`— Permite permisos AWS Service Catalog limitados a carteras, productos y productos aprovisionados mediante. AWS Config
+ `iam`: permite a las entidades principales tener permisos limitados para ver los usuarios, grupos o roles del servicio necesarios para crear y administrar productos y carteras.
+ `ssm`— Permite AWS Service Catalog AWS Systems Manager enumerar y leer los documentos de Systems Manager en la AWS cuenta corriente y AWS la región.
Consulte la política: [AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html).
## AWS política gestionada: `AWSServiceCatalogEndUserFullAccess`
Puede adjuntarla `AWSServiceCatalogEndUserFullAccess` a sus entidades de IAM. AppRegistry también vincula esta política a un rol de servicio que le permite AppRegistry realizar acciones en su nombre.
Esta política concede *contributor* permisos que permiten el acceso total a la vista de la consola del usuario final y concede permisos para lanzar productos y gestionar los productos aprovisionados.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `servicecatalog`: concede acceso pleno a la vista de la consola del usuario final, así como permiso para lanzar los productos y administrar los productos aprovisionados.
+ `cloudformation`— Permite disponer AWS Service Catalog de todos los permisos necesarios para enumerar, leer, escribir y etiquetar AWS CloudFormation pilas.
+ `config`— Permite permisos AWS Service Catalog limitados para enumerar y leer detalles sobre carteras, productos y productos aprovisionados a través de. AWS Config
+ `ssm`— Permite AWS Service Catalog AWS Systems Manager leer documentos de Systems Manager en la AWS cuenta corriente y AWS la región.
Consulte la política: [AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html).
## AWS política gestionada: `AWSServiceCatalogEndUserReadOnlyAccess`
Puede adjuntarla `AWSServiceCatalogEndUserReadOnlyAccess` a sus entidades de IAM. AppRegistry también vincula esta política a un rol de servicio que le permite AppRegistry realizar acciones en su nombre.
Esta política concede *read-only* permisos que permiten el acceso de solo lectura a la vista de la consola del usuario final. Esta política no concede permiso para lanzar productos ni administrar productos aprovisionados.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `servicecatalog`: permite a las entidades principales permisos de solo lectura para acceder a la vista de la consola del usuario final.
+ `cloudformation`— Permite permisos AWS Service Catalog limitados para enumerar y leer AWS CloudFormation pilas.
+ `config`— Permite permisos AWS Service Catalog limitados para enumerar y leer detalles sobre carteras, productos y productos aprovisionados mediante. AWS Config
+ `ssm`— Permite AWS Service Catalog AWS Systems Manager leer documentos de Systems Manager en la AWS cuenta corriente y AWS la región.
Consulte la política: [AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html).
## AWS política gestionada: `AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog asocia esta política a la función `AWSServiceRoleForServiceCatalogSync` vinculada al servicio (SLR), lo que permite AWS Service Catalog sincronizar las plantillas de un repositorio externo con los productos. AWS Service Catalog
Esta política concede permisos que permiten un acceso limitado a AWS Service Catalog las acciones (por ejemplo, las llamadas a la API) y a otras acciones de AWS servicio de las que dependa. AWS Service Catalog
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `servicecatalog`— Permite que la función de sincronización de AWS Service Catalog artefactos limite el acceso al AWS Service Catalog público APIs.
+ `codeconnections`— Permite que la función de sincronización de AWS Service Catalog artefactos limite el acceso al CodeConnections público. APIs
+ `cloudformation`— Permite que la función de sincronización de AWS Service Catalog artefactos limite el acceso al AWS CloudFormation público. APIs
Consulte la política: [AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html).
**Detalles del rol vinculado al servicio**
AWS Service Catalog utiliza los detalles de permisos anteriores para el rol `AWSServiceRoleForServiceCatalogSync` vinculado al servicio que se crea cuando un usuario crea o actualiza un AWS Service Catalog producto que lo utiliza. CodeConnections Puede modificar esta política mediante la AWS CLI, la AWS API o mediante la AWS Service Catalog consola. Para obtener más información sobre cómo crear, editar y eliminar funciones vinculadas a servicios, consulte [Uso de funciones vinculadas a servicios ()](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) para. SLRs AWS Service Catalog
Los permisos incluidos en la función `AWSServiceRoleForServiceCatalogSync` vinculada al servicio permiten AWS Service Catalog realizar las siguientes acciones en nombre del cliente.
+ `servicecatalog:ListProvisioningArtifacts`— Permite que la función de sincronización de AWS Service Catalog artefactos enumere los artefactos de aprovisionamiento de un AWS Service Catalog producto determinado que están sincronizados con un archivo de plantilla de un repositorio.
+ `servicecatalog:DescribeProductAsAdmin`— Permite que la función de sincronización de AWS Service Catalog artefactos utilice la `DescribeProductAsAdmin` API para obtener detalles de un AWS Service Catalog producto y los artefactos aprovisionados asociados que se sincronizan con un archivo de plantilla de un repositorio. El rol de sincronización de artefactos utiliza el resultado de esta llamada para verificar el límite de Service Quotas del producto para el aprovisionamiento de artefactos.
+ `servicecatalog:DeleteProvisioningArtifact`— Permite que la función de sincronización de AWS Service Catalog artefactos elimine un artefacto aprovisionado.
+ `servicecatalog:ListServiceActionsForProvisioningArtifact`— Permite que la función de sincronización de AWS Service Catalog artefactos determine si las acciones de servicio están asociadas a un artefacto de aprovisionamiento y garantizar que el artefacto de aprovisionamiento no se elimine si hay una acción de servicio asociada.
+ `servicecatalog:DescribeProvisioningArtifact`— Permite que la función de sincronización de AWS Service Catalog artefactos recupere detalles de la `DescribeProvisioningArtifact` API, incluido el ID de confirmación, que se proporciona en el resultado. `SourceRevisionInfo`
+ `servicecatalog:CreateProvisioningArtifact`— Permite que la función de sincronización de AWS Service Catalog artefactos cree un nuevo artefacto aprovisionado si se detecta un cambio (por ejemplo, si se confirma un git-push) en el archivo de plantilla fuente del repositorio externo.
+ `servicecatalog:UpdateProvisioningArtifact`— Permite que la función de sincronización de AWS Service Catalog artefactos actualice el artefacto aprovisionado para un producto conectado o sincronizado.
+ `codeconnections:UseConnection`— Permite que la función de sincronización de AWS Service Catalog artefactos utilice la conexión existente para actualizar y sincronizar un producto.
+ `cloudformation:ValidateTemplate`— Permite que la función de sincronización de AWS Service Catalog artefactos tenga acceso limitado AWS CloudFormation para validar el formato de la plantilla que se está utilizando en el repositorio externo y CloudFormation comprobar si es compatible con la plantilla.
## AWS política gestionada: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog adjunta esta política a la función `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculada al servicio (SLR), lo que permite AWS Service Catalog sincronizarla con. AWS Organizations
Esta política concede permisos que permiten un acceso limitado a AWS Service Catalog las acciones (por ejemplo, las llamadas a la API) y a otras acciones de AWS servicio que dependan de ellas. AWS Service Catalog
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `organizations`— Permite que la función AWS Service Catalog de sincronización de datos limite el acceso al AWS Organizations público APIs.
Consulte la política: [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html).
**Detalles del rol vinculado al servicio**
AWS Service Catalog utiliza los detalles de permisos anteriores para el rol `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculado al servicio que se crea cuando un usuario habilita el acceso a una cartera AWS Organizations compartida o crea una cartera compartida. Puede modificar esta política mediante la AWS CLI, la AWS API o mediante la AWS Service Catalog consola. Para obtener más información sobre cómo crear, editar y eliminar funciones vinculadas a servicios, consulte [Uso de funciones vinculadas a servicios ()](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles) para. SLRs AWS Service Catalog
Los permisos incluidos en la función `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculada al servicio permiten AWS Service Catalog realizar las siguientes acciones en nombre del cliente.
+ `organizations:DescribeAccount`— Permite que la AWS Service Catalog función de sincronización de datos de Organizations recupere información AWS Organizations relacionada con la cuenta especificada.
+ `organizations:DescribeOrganization`— Permite que la función AWS Service Catalog Organizations Data Sync recupere información sobre la organización a la que pertenece la cuenta del usuario.
+ `organizations:ListAccounts`— Permite que la función AWS Service Catalog Organizations Data Sync enumere las cuentas de la organización del usuario.
+ `organizations:ListChildren`— Permite que la función AWS Service Catalog Organizations Data Sync enumere todas las unidades organizativas (UOs) o cuentas que se encuentran en la unidad organizativa o raíz principal especificada.
+ `organizations:ListParents`— Permite que la AWS Service Catalog función de sincronización de datos de Organizations muestre la raíz o OUs que sirva como matriz inmediata de la unidad organizativa o cuenta secundaria especificada.
+ `organizations:ListAWSServiceAccessForOrganization`— Permite que la AWS Service Catalog función de sincronización de datos de Organizations recupere una lista de los AWS servicios que el usuario ha permitido integrar con su organización.
## Políticas obsoletas
Las siguientes políticas administradas han quedado obsoletas:
+ **ServiceCatalogAdminFullAccess**— Úselo **AWSServiceCatalogAdminFullAccess**en su lugar.
+ **ServiceCatalogAdminReadOnlyAccess**— Úselo **AWSServiceCatalogAdminReadOnlyAccess**en su lugar.
+ **ServiceCatalogEndUserFullAccess**— Úselo **AWSServiceCatalogEndUserFullAccess**en su lugar.
+ **ServiceCatalogEndUserAccess**— Úselo **AWSServiceCatalogEndUserReadOnlyAccess**en su lugar.
Utilice el siguiente procedimiento para asegurarse de que se usan las políticas actuales para conceder permisos a los administradores y los usuarios finales.
Para migrar de las políticas obsoletas a las políticas actuales, consulte [Añadir y eliminar permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) en la *Guía del usuario de AWS Identity and Access Management *.
## AppRegistry actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AppRegistry desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AppRegistry documento.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy)— Actualizar la política gestionada | AWS Service Catalog actualizó la `AWSServiceCatalogSyncServiceRolePolicy` política para cambiarla `codestar-connections` a`codeconnections`. | 7 de mayo de 2024 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Actualizar la política gestionada | AWS Service Catalog actualizó la `AWSServiceCatalogAdminFullAccess` política para incluir los permisos necesarios para que el AWS Service Catalog administrador pueda crear el rol `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculado al servicio (SLR) en su cuenta. | 14 de abril de 2023 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy) – Nueva política administrada | AWS Service Catalog agregó el`AWSServiceCatalogOrgsDataSyncServiceRolePolicy`, que está asociado al rol `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculado al servicio (SLR), lo que permite sincronizarlo con. AWS Service Catalog AWS Organizations Esta política permite el acceso limitado a AWS Service Catalog las acciones (por ejemplo, las llamadas a la API) y a otras acciones de AWS servicio que AWS Service Catalog dependan de ellas. | 14 de abril de 2023 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Actualizar la política gestionada | AWS Service Catalog actualizó la `AWSServiceCatalogAdminFullAccess` política para incluir todos los permisos del AWS Service Catalog administrador y crear compatibilidad con AppRegistry. | 12 de enero de 2023 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy) – Nueva política administrada | AWS Service Catalog agregó la `AWSServiceCatalogSyncServiceRolePolicy` política, que está asociada a la función `AWSServiceRoleForServiceCatalogSync` vinculada al servicio (SLR). Esta política permite sincronizar AWS Service Catalog las plantillas de un repositorio externo con los productos. AWS Service Catalog | 18 de noviembre de 2022 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions)— Nuevo rol vinculado al servicio | AWS Service Catalog agregó el rol `AWSServiceRoleForServiceCatalogSync` vinculado al servicio (SLR). Esta función es necesaria AWS Service Catalog para usar CodeConnections y crear, actualizar y describir los artefactos de AWS Service Catalog aprovisionamiento de un producto. | 18 de noviembre de 2022 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess)— Política gestionada actualizada | AWS Service Catalog actualizó la `AWSServiceCatalogAdminFullAccess` política para incluir todos los permisos necesarios para un AWS Service Catalog administrador. La política identifica las acciones específicas que el administrador puede realizar en todos AWS Service Catalog los recursos, como crear, describir, eliminar y más. Además, la política se modificó para admitir una función lanzada recientemente, el control de acceso basado en atributos (ABAC) para AWS Service Catalog. ABAC le permite utilizar la política `AWSServiceCatalogAdminFullAccess` como plantilla para permitir o denegar acciones en los recursos AWS Service Catalog en función de las etiquetas. Para obtener más información sobre ABAC, consulte [¿Qué es ABAC para AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)? en *AWS Identity and Access Management*. | 30 de septiembre de 2022 |
| AppRegistry comenzó a rastrear los cambios | AppRegistry comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. | 15 de septiembre de 2022 |
# Uso de roles vinculados a servicios para AWS Service Catalog
AWS Service Catalog [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Service Catalog Los roles vinculados al servicio están predefinidos AWS Service Catalog e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración AWS Service Catalog , ya que no es necesario añadir manualmente los permisos necesarios. AWS Service Catalog define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Service Catalog puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege sus AWS Service Catalog recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
**Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte [AWS Servicios que funcionan con IAM y busque los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra **Sí** en la columna Funciones vinculadas a servicios.** Seleccione una opción **Sí ** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios de `AWSServiceRoleForServiceCatalogSync`
AWS Service Catalog puede usar el rol vinculado al servicio denominado **`AWSServiceRoleForServiceCatalogSync`**: este rol vinculado al servicio es necesario para AWS Service Catalog poder usar CodeConnections y crear, actualizar y describir los artefactos de aprovisionamiento para un producto. AWS Service Catalog
El rol vinculado al servicio `AWSServiceRoleForServiceCatalogSync` depende de los siguientes servicios para asumir el rol:
+ `sync.servicecatalog.amazonaws.com`
La política de permisos de roles denominada **AWSServiceCatalogSyncServiceRolePolicy**permite AWS Service Catalog realizar las siguientes acciones en los recursos especificados:
+ Acción: `Connection` en `CodeConnections`
+ Acción: `Create, Update, and Describe` activada `ProvisioningArtifact` para un AWS Service Catalog producto
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
### Creación del rol `AWSServiceRoleForServiceCatalogSync` vinculado al servicio
No es necesario crear manualmente el rol `AWSServiceRoleForServiceCatalogSync` vinculado al servicio. AWS Service Catalog crea automáticamente el rol vinculado al servicio cuando lo estableces CodeConnections en la Consola de administración de AWS, la o la API AWS CLI. AWS
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizabas el AWS Service Catalog servicio antes del 18 de noviembre de 2022, cuando comenzó a admitir roles vinculados al servicio, entonces AWS Service Catalog creaste el `AWSServiceRoleForServiceCatalogSync` rol en tu cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando lo estableces CodeConnections, vuelve a AWS Service Catalog crear el rol vinculado al servicio para ti.
**También puedes usar la consola de IAM para crear un rol vinculado a un servicio con el caso de uso de los productos sincronizados. AWS Service Catalog ** En la API AWS CLI o en la AWS API, cree una función vinculada a un servicio con el nombre del servicio. `sync.servicecatalog.amazonaws.com` Para obtener más información, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Permisos de roles vinculados a servicios de `AWSServiceRoleForServiceCatalogOrgsDataSync`
AWS Service Catalog puede usar el rol vinculado al servicio denominado **`AWSServiceRoleForServiceCatalogOrgsDataSync`**: este rol vinculado al servicio es necesario para que AWS Service Catalog las organizaciones estén sincronizadas con él. AWS Organizations
El rol vinculado al servicio `AWSServiceRoleForServiceCatalogOrgsDataSync` depende de los siguientes servicios para asumir el rol:
+ `orgsdatasync.servicecatalog.amazonaws.com`
El rol `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculado al servicio requiere que utilice la siguiente política de confianza además de la [política administrada](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy) `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "orgsdatasync.servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
La política de permisos de roles denominada **AWSServiceCatalogOrgsDataSyncServiceRolePolicy**permite AWS Service Catalog realizar las siguientes acciones en los recursos especificados:
+ Acción: `DescribeAccount`, `DescribeOrganization` y `ListAWSServiceAccessForOrganization` en `Organizations accounts`
+ Acción: `ListAccounts`, `ListChildren` y `ListParent` en `Organizations accounts`
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
### Creación del rol `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculado al servicio
No es necesario crear manualmente el rol `AWSServiceRoleForServiceCatalogOrgsDataSync` vinculado al servicio. AWS Service Catalog considera su acción de habilitar [Compartir con AWS Organizations](catalogs_portfolios_sharing_how-to-share.md#portfolio-sharing-organizations) o [Uso compartido de carteras](catalogs_portfolios_sharing_how-to-share.md) dar permiso AWS Service Catalog para crear una SLR en segundo plano en su nombre.
AWS Service Catalog te crea automáticamente el rol vinculado al servicio cuando lo solicitas `EnableAWSOrganizationsAccess` o `CreatePortfolioShare` en la Consola de administración de AWS, la o la AWS CLI API. AWS
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al pedir `EnableAWSOrganizationsAccess` o `CreatePortfolioShare`, AWS Service Catalog se encarga de volver crear automáticamente la función vinculada al servicio.
## Edición de un rol vinculado a un servicio para AWS Service Catalog
AWS Service Catalog no permite editar las funciones `AWSServiceRoleForServiceCatalogSync` o las funciones vinculadas a un `AWSServiceRoleForServiceCatalogOrgsDataSync` servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS Service Catalog
Puede utilizar la consola de IAM, la AWS CLI o la AWS API para eliminar manualmente la `AWSServiceRoleForServiceCatalogSync` `AWSServiceRoleForServiceCatalogOrgsDataSync` SLR. Para ello, primero debe eliminar manualmente todos los recursos que utilizan la función vinculada al servicio (por ejemplo, cualquier AWS Service Catalog producto que esté sincronizado con un repositorio externo) y, a continuación, la función vinculada al servicio se puede eliminar manualmente.
## Regiones compatibles con las funciones vinculadas al servicio AWS Service Catalog
AWS Service Catalog admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de enlace y regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
****
| Nombre de la región | Identidad de la región | Support en AWS Service Catalog |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | No |
| AWS GovCloud (Estados Unidos-Oeste) | us-gov-west-1 | No |
# Solución de problemas AWS Service Catalog de identidad y acceso
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con AWS Service Catalog un IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS Service Catalog](#troubleshoot-one)
+ [No tengo autorización para realizar `iam:PassRole`](#troubleshoot-two)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos AWS Service Catalog](#troubleshoot-five)
## No estoy autorizado a realizar ninguna acción en AWS Service Catalog
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión. El siguiente ejemplo de error se produce cuando el usuario mateojackson intenta usar la consola para ver detalles sobre un my-example-widget recurso ficticio pero no tiene los permisos ficticios`aws:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `aws:GetWidget`.
## No tengo autorización para realizar `iam:PassRole`
Si recibe un error que indica que no está autorizado para llevar a cabo la acción `iam:PassRole`, debe ponerse en contacto con su administrador para recibir ayuda. El administrador es la persona que le facilitó el nombre de usuario y la contraseña. Pida a la persona que actualice sus políticas de forma que pueda transferir un rol a AWS Service Catalog.
Algunos AWS servicios permiten transferir una función existente a ese servicio, en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario denominado marymajor intenta utilizar la consola para realizar una acción en AWS Service Catalog. Sin embargo, la acción requiere que el servicio tenga permisos otorgados por un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, Mary pide a su administrador que actualice sus políticas para poder realizar la PassRole acción iam:.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis recursos AWS Service Catalog
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si AWS Service Catalog es compatible con estas funciones, consulte [AWS Identity and Access Management la AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/controlling_access.html) Guía del *AWS Service Catalog administrador*.
+ Para obtener información sobre cómo proporcionar acceso a sus recursos en todas AWS las cuentas de su propiedad, consulte [Proporcionar acceso a un usuario de IAM en otra AWS cuenta de su](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) propiedad en la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a AWS cuentas de terceros, consulta Cómo [proporcionar acceso a AWS cuentas propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para obtener información sobre la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas, consulte [Cómo los roles de IAM difieren de las políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) en la *Guía del usuario de IAM*.
# Control de acceso
una AWS Service Catalog cartera proporciona a sus administradores un nivel de control de acceso para sus grupos de usuarios finales. Cuando añada usuarios a una cartera de productos, ellos mismos podrán explorar y lanzar cualquiera de los productos de la cartera. Para obtener más información, consulte [Administración de carteras](catalogs_portfolios.md).
## Restricciones
Las restricciones controlan qué reglas se aplican a los usuarios finales al lanzar un producto de una cartera específica. Úselas para aplicar límites a los productos para el control de costos o de dirección. Para obtener más información acerca de las restricciones, consulte [Uso de AWS Service Catalog restricciones](constraints.md).
AWS Service Catalog las restricciones de lanzamiento le proporcionan un mayor control sobre los permisos que necesita el usuario final. Cuando su administrador crea una restricción de lanzamiento para un producto de una cartera, la restricción de lanzamiento asocia un ARN de rol que se utiliza cuando sus usuarios finales lanzan el producto desde esa cartera. Con este patrón, puede controlar el acceso a la creación AWS de recursos. Para obtener más información, consulte [AWS Service Catalog Restricciones de lanzamiento](constraints-launch.md).