Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS aplicaciones gestionadas
<a name="awsapps"></a>

AWS IAM Identity Center agiliza y simplifica la tarea de conectar a los usuarios de su fuerza laboral con aplicaciones AWS gestionadas como Kiro y Amazon Quick. Con IAM Identity Center, puede conectar su proveedor de identidades existente una vez y sincronizar usuarios y grupos de su directorio, o crear y administrar sus usuarios directamente en IAM Identity Center. Al proporcionar un punto de federación, IAM Identity Center elimina la necesidad de configurar la federación o la sincronización de usuarios y grupos para cada aplicación y reduce el esfuerzo administrativo. También obtiene una [visión común de las asignaciones de usuarios y grupos](howtoviewandchangepermissionset.md).

Para ver una tabla de AWS aplicaciones que funcionan con IAM Identity Center, consulte. [AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center](awsapps-that-work-with-identity-center.md)

## Controlar el acceso a las aplicaciones AWS gestionadas
<a name="awsapps-controlling-access"></a>

El acceso a las aplicaciones AWS gestionadas se controla de dos maneras:
+ **Entrada inicial a la aplicación** 

  IAM Identity Center administra esto mediante asignaciones a la aplicación. De forma predeterminada, las asignaciones son obligatorias para las aplicaciones AWS administradas. Si es administrador de aplicaciones, puede elegir si desea solicitar asignaciones a una aplicación.

  Si las asignaciones son obligatorias, cuando un usuario inicie sesión en Portal de acceso a AWS, solo verá el icono de la aplicación si está asignado a la aplicación directamente o mediante una asignación de grupo.

  Si las asignaciones no son obligatorias, puede permitir que todos los usuarios de IAM Identity Center entren en la aplicación. En este caso, la aplicación administra el acceso a los recursos y todos los usuarios que visitan Portal de acceso a AWS. 
**importante**  
Si es administrador del IAM Identity Center, puede utilizar la consola del IAM Identity Center para eliminar las asignaciones a las aplicaciones AWS gestionadas. Antes de eliminar las asignaciones, le recomendamos que colabore con el administrador de la aplicación. También debe colaborar con el administrador de la aplicación si tiene previsto modificar la configuración que determina si las asignaciones son obligatorias o automatizar las asignaciones de la aplicación. 
+ **Acceso a los recursos de la aplicación**

   La aplicación administra esto mediante asignaciones de recursos independientes que controla.

AWS las aplicaciones gestionadas proporcionan una interfaz de usuario administrativa que puede utilizar para gestionar el acceso a los recursos de la aplicación. Por ejemplo, los administradores de Quick pueden asignar a los usuarios el acceso a los paneles en función de la pertenencia a un grupo. La mayoría de las aplicaciones AWS administradas también ofrecen una Consola de administración de AWS experiencia que permite asignar usuarios a la aplicación. La experiencia de la consola de estas aplicaciones podría integrar ambas funciones para combinar las capacidades de asignación de usuarios con la capacidad de administrar el acceso a los recursos de la aplicación.

## Compartición de información de identidad
<a name="app-enablement"></a>

### Consideraciones para compartir información de identidad en Cuentas de AWS
<a name="considerations-app-enablement"></a>

IAM Identity Center admite los atributos más utilizados en todas las aplicaciones. Estos atributos pueden ser el nombre y apellido, el número de teléfono, la dirección de correo electrónico, la dirección y el idioma preferido. Considere detenidamente qué aplicaciones y qué cuentas pueden utilizar esta información de identificación personal.

Puede controlar el acceso a esta información de cualquiera de las siguientes maneras:
+ Puede optar por habilitar el acceso solo en la cuenta AWS Organizations de administración o en todas las cuentas de AWS Organizations.
+ Como alternativa, puede usar las políticas de control de servicios (SCPs) para controlar qué aplicaciones pueden acceder a la información en qué cuentas se encuentran AWS Organizations. 

Por ejemplo, si solo habilita el acceso a la cuenta AWS Organizations de administración, las aplicaciones de las cuentas de los miembros no tendrán acceso a la información. Sin embargo, si habilita el acceso en todas las cuentas, puede impedir SCPs el acceso a todas las aplicaciones, excepto a las que desee permitir.

Las políticas de control de servicios son una característica de AWS Organizations. Para obtener instrucciones sobre cómo conectar una SCP, consulte [Asociar y desasociar políticas de control de servicios](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) en la *Guía del usuario de AWS Organizations *.

### Configuración de IAM Identity Center para compartir información de las identidades
<a name="configure-app-enablement"></a>

IAM Identity Center proporciona un almacén de identidades que contiene los atributos de usuario y grupo, sin incluir las credenciales de inicio de sesión. Puede utilizar cualquiera de los siguientes métodos para mantener actualizados a los usuarios y grupos de su almacén de identidades de IAM Identity Center:
+ Utilice el almacén de identidades de IAM Identity Center como fuente de identidades principal. Si elige este método, gestiona los usuarios, sus credenciales de inicio de sesión y los grupos desde la consola de IAM Identity Center o AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte [Administración de usuarios en el directorio de Identity Center](manage-your-identity-source-sso.md).
+ Configure el aprovisionamiento (sincronización) de los usuarios y grupos procedentes de cualquiera de las siguientes fuentes de identidad en el almacén de identidades de IAM Identity Center:
  + **Active Directory**: para más información, consulte [Directorio Microsoft AD](manage-your-identity-source-ad.md).
  + **Proveedor de identidades externo**: para más información, consulte [Proveedores de identidades externos](manage-your-identity-source-idp.md).

  Si elige este método de aprovisionamiento, seguirá administrando sus usuarios y grupos desde su origen de identidad y esos cambios se sincronizarán con el almacén de identidades de IAM Identity Center.

Sea cual sea la fuente de identidad que elija, el Centro de Identidad de IAM puede compartir la información del usuario y del grupo con AWS las aplicaciones gestionadas. De esta forma, puede conectar un origen de identidad a IAM Identity Center una vez y, a continuación, compartir la información de identidad con varias aplicaciones en la Nube de AWS. De este modo, se elimina la necesidad de configurar el aprovisionamiento de identidades y federaciones de forma independiente con cada aplicación. Esta característica de uso compartido también facilita el acceso de los usuarios a muchas aplicaciones en diferentes Cuentas de AWS.

## Restringir el uso de aplicaciones gestionadas AWS
<a name="awsapps-constrain"></a>

Cuando habilita IAM Identity Center por primera vez, estará disponible como origen de identidad para las aplicaciones administradas por AWS en todas sus cuentas de AWS Organizations. Para restringir las aplicaciones, debe implementar políticas de control de servicios ()SCPs. SCPs son una función AWS Organizations que puede utilizar para controlar de forma centralizada el número máximo de permisos que pueden tener las identidades (usuarios y roles) de su organización. Puede utilizarlas SCPs para bloquear el acceso a la información de usuarios y grupos del Centro de Identidad de IAM e impedir que se inicie la aplicación, excepto en las cuentas designadas. Para obtener más información, consulte [las políticas de control de servicios (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del AWS Organizations usuario*. 

El siguiente ejemplo de SCP bloquea el acceso a la información de usuarios y grupos de IAM Identity Center e impide que se inicie la aplicación, excepto en las cuentas designadas (111111111111 y 222222222222):

```
{
  "Sid": "DenyIdCExceptInDesignatedAWSAccounts",
  "Effect": "Deny",
  "Action": [
    "identitystore:*",
    "sso:*",
    "sso-directory:*",
    "sso-oauth:*"
  ],
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalAccount": [
        "111111111111",
        "222222222222"
      ]
    }
  }
}
```

# AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center
<a name="awsapps-that-work-with-identity-center"></a>

IAM Identity Center le permite conectar su origen de identidad existente o crear usuarios una sola vez. Esto permite a los administradores de aplicaciones gestionar el acceso a las siguientes aplicaciones AWS gestionadas sin necesidad de una federación independiente ni una sincronización de usuarios y grupos independientes. 

Todas las aplicaciones AWS gestionadas de la siguiente tabla se integran con las [instancias organizativas del IAM Identity Center](organization-instances-identity-center.md). La tabla también proporciona información sobre lo siguiente para una aplicación AWS gestionada compatible:
+ Si la aplicación también se integra con instancias de cuenta de IAM Identity Center
+  Si la aplicación puede permitir una propagación de identidades de confianza a través de IAM Identity Center
+  Si la aplicación es compatible con IAM Identity Center configurado con una clave de KMS administrada por el cliente
+ Si la aplicación admite el despliegue en otras regiones del Centro de Identidad de IAM

**nota**  
Las aplicaciones que admiten el despliegue en otras regiones del Centro de Identidad de IAM también admiten el Centro de Identidad de IAM configurado con una clave KMS administrada por el cliente. Todas las aplicaciones AWS gestionadas que se muestran aquí admiten el despliegue en la región principal. Para obtener más información, consulte [Implementación y administración de aplicaciones AWS administradas en múltiples Regiones de AWS](multi-region-application-use.md#multi-region-aws-managed-applications).


**AWS aplicaciones gestionadas que se integran con IAM Identity Center**  

| AWS aplicación gestionada | Integración con [instancias de cuenta de IAM Identity Center](account-instances-identity-center.md) | Permite una [propagación de identidad confiable](trustedidentitypropagation-overview.md) a través de IAM Identity Center | Es compatible con IAM Identity Center configurado con una [clave de KMS administrada por el cliente](encryption-at-rest.md) | Soporta el despliegue en [regiones adicionales del Centro de Identidad de IAM](multi-region-iam-identity-center.md) | 
| --- | --- | --- | --- | --- | 
| Amazon Athena SQL | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon CodeCatalyst | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon DataZone | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Capacidades de Amazon EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon EMR en EC2 | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon EMR en EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon EMR sin servidor | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon EMR Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon Kendra | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon Managed Grafana | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon Monitron | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
|  OpenSearch Servicio Amazon | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
|  OpenSearch Servicio Amazon Serverless Service | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon Q Business | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon Quick | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon Redshift | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí2 | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | 
| Amazon S3 Access Grants | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | 
| Amazon SageMaker Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon SageMaker Unified Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon WorkMail | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon WorkSpaces | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Amazon WorkSpaces Secure Browser | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| AWS App Studio  | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| AWS Deadline Cloud | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | 
| AWS Glue | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| AWS IoT Events | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| AWS IoT SiteWise | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| AWS Lake Formation | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | 
| AWS re:Post Private | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| AWS Supply Chain | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| AWS Systems Manager | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg)Sí, escritorio remoto Fleet Manager | 
| AWS Transfer Family aplicaciones web | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| AWS Transformación | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Acceso verificado de AWS | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Kiro | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí1 | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| Aprobación multipartita | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 
| OpenSearch user interface (Dashboards) | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/success_icon.svg) Sí | ![\[alt text not found\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/negative_icon.svg) No | 

1 En el caso de Kiro, se admiten las instancias de cuenta del IAM Identity Center, a menos que los usuarios necesiten acceder al conjunto completo de funciones de Kiro en los sitios web. AWS *Para obtener más información, consulte [Configuración de Kiro en la Guía del usuario de Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/getting-started-q-dev.html).*

2 En el caso de Amazon Redshift, se admiten las instancias de cuenta de IAM Identity Center, excepto aplicaciones como Query Editor v2, que requieren conjuntos de permisos, que no son compatibles con las instancias de cuenta.

**nota**  
Algunos AWS servicios, como Amazon Connect, no AWS Client VPN aparecen en esta tabla, aunque puede utilizarlos con IAM Identity Center. Esto se debe a que se integran con el Centro de Identidad de IAM exclusivamente mediante SAML y, por lo tanto, se clasifican como aplicaciones gestionadas por el [cliente](customermanagedapps.md). 

# Inicio rápido: configuración del IAM Identity Center para probar las aplicaciones gestionadas AWS
<a name="awsapps-identity-center-quick-start"></a>

 Si su administrador aún no le ha dado acceso al Centro de identidad de IAM, puede seguir los pasos de este tema para configurar el Centro de identidades de IAM para probar AWS las aplicaciones gestionadas. Aprenderá a activar el Centro de identidad de IAM, a crear un usuario directamente en el Centro de identidades de IAM y a asignar ese usuario a una aplicación gestionada. AWS 

 En este tema se proporcionan pasos de inicio rápido sobre cómo habilitar IAM Identity Center de cualquiera de las siguientes maneras: 
+ **Con AWS Organizations**: si elige esta opción, se crea una *instancia de organización* del Centro de identidades de IAM.
+ **Solo en su entorno específico Cuenta de AWS**: si elige esta opción, se crea una *instancia de cuenta* del IAM Identity Center.

 Para obtener información sobre los tipos de instancia, consulte [Instancias de organización y cuenta de IAM Identity Center](identity-center-instances.md). 

## Requisitos previos
<a name="awsapps-quick-start-set-up-access-prerequisites"></a>

Antes de habilitar IAM Identity Center, confirme lo siguiente:
+ **Tiene una Cuenta de AWS**: si no la tiene Cuenta de AWS, consulte [Cómo empezar con una Cuenta de AWS](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html) en la *Guía de referencia sobre la gestión de AWS cuentas*. 
+ **La aplicación AWS gestionada funciona con el Centro de identidades de IAM**: consulte la lista [AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center](awsapps-that-work-with-identity-center.md) para confirmar que la aplicación AWS gestionada que desea probar funciona con el Centro de identidades de IAM.
+ **Ha revisado las consideraciones regionales**: asegúrese de que la aplicación AWS gestionada que desea probar es compatible con el Región de AWS lugar donde habilita el Centro de Identidad de IAM. Para obtener más información, consulte la documentación de la aplicación administrada por AWS .
**nota**  
Debe implementar la aplicación AWS gestionada en la misma región en la que planea habilitar el IAM Identity Center.

## Configuración de una instancia organizativa del IAM Identity Center para probar las aplicaciones gestionadas AWS
<a name="awsapps-quick-start-setting-up-identity-center-to-test-awsmanagedapps"></a>

**nota**  
 En este tema se describe cómo habilitar el Centro de Identidad de IAM AWS Organizations, que es la forma recomendada de habilitar el Centro de Identidad de IAM. 

**Confirmación de sus permisos**

Para habilitar IAM Identity Center con AWS Organizations, debe iniciar sesión en la consola de AWS administración de una de las siguientes maneras:
+ Un usuario con permisos administrativos en la Cuenta de AWS donde se habilitará IAM Identity Center con AWS Organizations.
+ El usuario raíz (no se recomienda a menos que no existan otros usuarios administrativos).
**importante**  
El usuario raíz tiene acceso a todos los AWS servicios y recursos de la cuenta. Como práctica recomendada de seguridad, a menos que no tengas otras credenciales, no utilices las credenciales raíz de tu cuenta para acceder a AWS los recursos. Estas credenciales proporcionan acceso ilimitado a la cuenta y son difíciles de revocar.

### Paso 1. Habilite IAM Identity Center con AWS Organizations
<a name="awsapps-quick-start-enable-identity-center-with-awsorganizations"></a>

1. Realice una de estas operaciones para iniciar sesión en la Consola de administración de AWS.
   + **Nuevo para AWS (usuario root)**: inicie sesión como propietario de la cuenta; para ello, seleccione el **usuario root** e introduzca su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.
   + Si **ya lo AWS utilizas de forma independiente Cuenta de AWS (credenciales de IAM)**: inicia sesión con tus credenciales de IAM con permisos administrativos.

1. En la página de inicio de la consola de AWS administración, seleccione el servicio IAM Identity Center o vaya a la consola de [IAM](https://console.aws.amazon.com/singlesignon) Identity Center.

1. Seleccione **Activar** y active IAM Identity Center con. AWS Organizations Al hacerlo, está creando una [instancia de organización](organization-instances-identity-center.md) de IAM Identity Center.

### Paso 2. Cree un usuario administrativo en IAM Identity Center
<a name="awsapps-quick-start-create-an-administrative-user-in-identity-center"></a>

En este procedimiento, se describe cómo crear un usuario directamente en el directorio integrado de Identity Center. Este directorio no está conectado a ningún otro directorio que su administrador pueda usar para administrar los usuarios del personal. Tras crear el usuario en IAM Identity Center, especificará las nuevas credenciales para este usuario. Cuando inicie sesión como este usuario para probar su aplicación AWS gestionada, iniciará sesión con las nuevas credenciales, no con las credenciales existentes que utilice para acceder a los recursos corporativos.
**nota**  
Le recomendamos que utilice este método solo con fines de creación de usuarios.

1. En el panel de navegación de la consola de IAM Identity Center, elija **Usuarios** y, a continuación, elija **Agregar usuarios**. 

1. Siga las instrucciones de la consola para agregar el usuario. Mantenga seleccionado **Enviar un correo electrónico a este usuario con las instrucciones de configuración de la contraseña** y asegúrese de especificar una dirección de correo electrónico a la que tenga acceso.

1. En el panel de navegación, elija Cuentas de AWS, active la casilla de verificación situada junto a su cuenta y elija **Asignar usuarios o grupos**.

1. Seleccione la pestaña **Usuarios**, active la casilla de verificación situada junto al usuario que acaba de agregar y elija **Siguiente**.

1. Seleccione **Crear conjunto de permisos** y siga las instrucciones de la consola para crear el conjunto de permisos predefinido `AdministratorAccess`.

1. Cuando haya terminado, el nuevo conjunto de permisos aparecerá en la lista. Cierre la pestaña **Conjuntos de permisos** en la ventana del navegador, vuelva a la pestaña **Asignar usuarios y grupos** y elija el icono de actualización situado junto a **Crear conjunto de permisos**.

1. En la pestaña del navegador **Asignar usuarios y grupos**, el nuevo conjunto de permisos aparecerá en la lista. Active la casilla de verificación situada junto al nombre del conjunto de permisos, elija **Siguiente** y, a continuación, elija **Enviar**. 

1. Cierre la sesión de la consola de .

### Paso 3. Inicie sesión en el portal de AWS acceso como usuario administrativo
<a name="awsapps-quick-start-sign-in-to-aws-access-portal-as-administrative-user"></a>

El portal de AWS acceso es un portal web que proporciona al usuario que ha creado acceso a la consola AWS de administración. Antes de iniciar sesión en el portal de acceso de AWS , debe aceptar la invitación para unirse a IAM Identity Center y activar sus credenciales de usuario.

1. Busque un correo electrónico con el asunto **Invitación a unirse a AWS IAM Identity Center**.

1. Seleccione **Aceptar invitación** y siga las instrucciones de la página de registro para establecer una nueva contraseña, iniciar sesión y registrar un dispositivo MFA para su usuario.

1. Después de registrar su dispositivo MFA, se abre el portal de AWS acceso.

1. En el portal de AWS acceso, seleccione el suyo Cuenta de AWS y elija **AdministratorAccess**. Se lo redirigirá a la Consola de administración de AWS .

### Paso 4. Configure la aplicación AWS gestionada para que utilice IAM Identity Center
<a name="awsapps-quick-start-configure-aws-managed-app-to-use-identity-center"></a>

1. Con la sesión iniciada en la consola AWS de administración, abra la consola de la aplicación AWS gestionada que vaya a utilizar.

1. Siga las instrucciones de la consola para configurar la aplicación AWS gestionada para que utilice IAM Identity Center. Durante este proceso, puede asignar el usuario que ha creado a la aplicación.

## Configuración de una instancia de cuenta del IAM Identity Center para probar las aplicaciones gestionadas AWS
<a name="awsapps-quick-start-setting-up-account-instance-identity-center-to-test-awsmanagedapps"></a>

**nota**  
Una instancia de cuenta es una implementación única de IAM Identity Center a una única Cuenta de AWS. Debe habilitar esta instancia al mismo tiempo Región de AWS que la AWS aplicación que desea probar.

**Confirmación de aplicación**

 Todas las aplicaciones AWS gestionadas que funcionan con el IAM Identity Center se pueden utilizar con las instancias organizativas del IAM Identity Center. Sin embargo, solo algunas de estas aplicaciones se pueden utilizar con instancias de cuenta de IAM Identity Center. Revise la lista de regla de [AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center](awsapps-that-work-with-identity-center.md). 

### Paso 1. Habilite una instancia de cuenta de IAM Identity Center.
<a name="awsapps-quick-start-enable-account-instance-identity-center"></a>

1. Realice una de estas operaciones para iniciar sesión en la Consola de administración de AWS.
   + **Nuevo para AWS (usuario raíz)**: inicie sesión como propietario de la cuenta; para ello, seleccione el **usuario raíz** e introduzca su Cuenta de AWS dirección de correo electrónico. En la siguiente página, escriba su contraseña.
   + Si **ya lo AWS utilizas de forma independiente Cuenta de AWS (credenciales de IAM)**: inicia sesión con tus credenciales de IAM con permisos administrativos.

1. En la página de inicio de la consola de AWS administración, seleccione el servicio IAM Identity Center o vaya a la consola de [IAM](https://console.aws.amazon.com/singlesignon) Identity Center.

1. Seleccione **Habilitar**.

1. En la página **Habilitar IAM Identity Center con AWS Organizations**, seleccione **habilitar una instancia de cuenta de IAM Identity Center**.

1. En la página **Habilitar la instancia de cuenta de IAM Identity Center**, revise la información y, si lo desea, añada las etiquetas que desee asociar a esta instancia de cuenta. A continuación, elija **Enable**. 

### Paso 2. Creación de un usuario en IAM Identity Center
<a name="awsapps-quick-start-create-user-in-identity-center"></a>

En este procedimiento, se describe cómo crear un usuario directamente en el directorio integrado de Identity Center. Este directorio no está conectado a ningún otro directorio que su administrador pueda usar para administrar los usuarios del personal. Tras crear el usuario en IAM Identity Center, especificará las nuevas credenciales para este usuario. Cuando inicie sesión como este usuario para probar su aplicación AWS gestionada, iniciará sesión con las nuevas credenciales. Las nuevas credenciales no le permitirán acceder a otros recursos corporativos.
**nota**  
Le recomendamos que utilice este método solo con fines de creación de usuarios.

1. En el panel de navegación de la consola de IAM Identity Center, elija **Usuarios** y, a continuación, elija **Agregar usuarios**. 

1. Siga las instrucciones de la consola para agregar el usuario. Mantenga seleccionado **Enviar un correo electrónico a este usuario con las instrucciones de configuración de la contraseña** y asegúrese de especificar una dirección de correo electrónico a la que tenga acceso.

1. Cierre la sesión de la consola de .

### Paso 3. Inicie sesión en el portal de AWS acceso como usuario del IAM Identity Center
<a name="awsapps-quick-start-sign-in-to-aws-access-portal-as-user"></a>

El portal de AWS acceso es un portal web que proporciona al usuario que creó acceso a la consola AWS de administración. Antes de iniciar sesión en el portal de acceso de AWS , debe aceptar la invitación para unirse a IAM Identity Center y activar sus credenciales de usuario.

1. Busque un correo electrónico con el asunto **Invitación a unirse a AWS IAM Identity Center**.

1. Seleccione **Aceptar invitación** y siga las instrucciones de la página de registro para establecer una nueva contraseña, iniciar sesión y registrar un dispositivo MFA para su usuario.

1. Después de registrar su dispositivo MFA, se abre el portal de AWS acceso. Cuando haya aplicaciones disponibles, las encontrará en la pestaña **Aplicaciones**.
**nota**  
AWS las aplicaciones que admiten instancias de cuentas permiten a los usuarios iniciar sesión en las aplicaciones sin necesidad de permisos adicionales. Por lo tanto, la pestaña **Cuentas** permanecerá vacía.

### Paso 4. Configure la aplicación AWS gestionada para que utilice el Centro de identidad de IAM
<a name="awsapps-quick-start-configure-aws-managed-app-to-use-account-instance-identity-center"></a>

1. Con la sesión iniciada en la consola AWS de administración, abra la consola de la aplicación AWS gestionada que vaya a utilizar.

1. Siga las instrucciones de la consola para configurar la aplicación AWS gestionada para que utilice IAM Identity Center. Durante este proceso, puede asignar el usuario que ha creado a la aplicación.

# Visualización y modificación de los detalles de una aplicación AWS gestionada
<a name="aws-managed-applications-view-details"></a>

Tras conectar una aplicación AWS gestionada al IAM Identity Center mediante la consola o APIs para la aplicación, la aplicación se registra en el IAM Identity Center. Una vez registrada una aplicación en IAM Identity Center, puede ver y cambiar detalles sobre la aplicación en la consola de IAM Identity Center.

La información sobre la aplicación incluye si son obligatorias las asignaciones de usuarios y grupos y, si corresponde, los usuarios y grupos asignados y las aplicaciones de confianza para la propagación de identidades. Para obtener más información acerca de la propagación de identidades de confianza, consulte [Descripción general de la propagación de identidades de confianza](trustedidentitypropagation-overview.md).

**Para ver y cambiar la información sobre una aplicación AWS gestionada en la consola del IAM Identity Center**

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Elija **Aplicaciones**.

1. Seleccione la pestaña **Administrada de AWS **.

1. Elija el enlace de la aplicación administrada que desee abrir y ver.

1. Si desea cambiar la información sobre una aplicación AWS gestionada, seleccione **Acción** y, a continuación, seleccione **Editar detalles**.

1. Puede cambiar el nombre mostrado y la descripción de la aplicación, así como el método de asignación de usuarios y grupos.

   1. Para cambiar el nombre para mostrar, introduzca el nombre deseado en el campo **Nombre para mostrar** y seleccione **Guardar cambios**.

   1. Para cambiar la descripción, introduzca la descripción deseada en el campo **Descripción** y seleccione **Guardar cambios**.

   1. Para cambiar el método de asignación de usuarios y grupos, realice el cambio deseado y seleccione **Guardar cambios**. Para obtener más información, consulte [Usuarios, grupos y aprovisionamiento en IAM Identity Center](users-groups-provisioning.md).

# Deshabilitar una aplicación AWS gestionada
<a name="awsapps-remove"></a>

Para evitar que los usuarios se autentiquen en una aplicación AWS gestionada, puede inhabilitar la aplicación en la consola del IAM Identity Center.

**Para deshabilitar una aplicación gestionada AWS**

1. Abra la [consola de IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Elija **Aplicaciones**.

1. En la página **Aplicaciones**, en **Aplicaciones administradas por AWS **, seleccione la aplicación que desee deshabilitar.

1. Con la aplicación seleccionada, seleccione **Acciones** y, a continuación, seleccione **Deshabilitar**.

1. En el cuadro de diálogo **Desactivar aplicación**, seleccione **Desactivar**. 

1. En la lista **Aplicaciones administradas por AWS **, el estado de la aplicación aparece como **Inactiva**. 

**nota**  
**Si una aplicación AWS gestionada está deshabilitada, puede restaurar la capacidad de los usuarios de autenticarse en la aplicación seleccionando **Acciones** y, a continuación, Activar.**

# Activación de sesiones de consola con identidad mejorada
<a name="identity-enhanced-sessions"></a>

Una sesión de consola con identidad mejorada mejora la sesión de AWS consola del usuario al proporcionar un contexto de usuario adicional para personalizar la experiencia de ese usuario. Actualmente, los usuarios de Kiro Pro admiten esta función [en AWS aplicaciones y sitios web](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html).

Puede habilitar sesiones de consola con una identidad mejorada sin realizar cambios en los patrones de acceso existentes ni en la federación en la consola. AWS Si sus usuarios inician sesión en la AWS consola con IAM (por ejemplo, si inician sesión como usuarios de IAM o mediante un acceso federado con IAM), pueden seguir utilizando estos métodos. Si sus usuarios inician sesión en el portal de AWS acceso, pueden seguir utilizando sus credenciales de usuario del IAM Identity Center.

**Topics**
+ [Requisitos y consideraciones previos](#prereqs-and-considerations)
+ [¿Cómo habilitar las sesiones identity-enhanced-console](#enable-identity-enhanced-sessions-q)
+ [Cómo funcionan las sesiones de consola con identidad mejorada](#how-identity-enhanced-sessions-work)

## Requisitos y consideraciones previos
<a name="prereqs-and-considerations"></a>

Antes de habilitar sesiones de consola con identidad mejorada, revise los siguientes requisitos previos y consideraciones:
+ Si sus usuarios acceden a Kiro en AWS aplicaciones y sitios web a través de una suscripción a Kiro Pro, debe habilitar las sesiones de consola con identidad mejorada.
**nota**  
Los usuarios de Kiro pueden acceder a Kiro sin sesiones con identidad mejorada, pero no tendrán acceso a sus suscripciones a Kiro Pro. 
+ Las sesiones de consola con identidad mejorada requieren una [instancia de organización](organization-instances-identity-center.md) de IAM Identity Center.
+ La integración con Kiro no es compatible si habilitas el Centro de Identidad de IAM de forma opcional. Región de AWS
+ Para habilitar sesiones de consola con identidad mejorada, debe tener los siguientes permisos:
  + `sso:CreateApplication`
  + `sso:GetSharedSsoConfiguration`
  + `sso:ListApplications`
  + `sso:PutApplicationAssignmentConfiguration`
  + `sso:PutApplicationAuthenticationMethod`
  + `sso:PutApplicationGrant`
  + `sso:PutApplicationAccessScope`
  + `signin:CreateTrustedIdentityPropagationApplicationForConsole`
  + `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ Para permitir que sus usuarios utilicen sesiones de consola con identidad mejorada, debe concederles el permiso `sts:setContext` en virtud de una política basada en la identidad. Para más información, consulte [Concesión de permisos para usar sesiones de consola con identidad mejorada](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html).

## ¿Cómo habilitar las sesiones identity-enhanced-console
<a name="enable-identity-enhanced-sessions-q"></a>

Puede activar las sesiones de consola con identidad mejorada en la consola de Kiro o en la consola de IAM Identity Center.

**Habilite las sesiones de consola con identidad mejorada en la consola Kiro**

Antes de habilitar sesiones de consola con identidad mejorada, debe tener una instancia de organización de IAM Identity Center con un origen de identidades conectado. Si ya ha configurado IAM Identity Center, vaya al paso 3.

1. Abra la consola del IAM Identity Center. Seleccione **Activar** y cree una instancia de organización de IAM Identity Center. Para obtener información, consulte [Activar IAM Identity Center](enable-identity-center.md).

1. Conecte su fuente de identidad a IAM Identity Center y aprovisione usuarios a IAM Identity Center. Puede conectar su origen de identidad actual a IAM Identity Center o utilizar el directorio del Identity Center si aún no utiliza otro origen de identidad. Para obtener más información, consulte [Tutoriales de orígenes de identidad de IAM Identity Center](tutorials.md).

1. *Cuando termine de configurar el Centro de identidades de IAM, abra la consola de Kiro y siga los pasos que se indican en las [suscripciones](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html) de la Guía del usuario de Kiro.* Asegúrese de habilitar las sesiones de consola con identidad mejorada.
**nota**  
Si no tiene los permisos suficientes para habilitar las sesiones de consola con identidad mejorada, es posible que tenga que pedirle a un administrador de IAM Identity Center que realice esta tarea por usted en la consola de IAM Identity Center. Para obtener más información, consulte el siguiente procedimiento.

**Habilite sesiones de consola con identidad mejorada en la consola de IAM Identity Center**

Si es administrador de IAM Identity Center, es posible que otro administrador le pida que habilite sesiones de consola con identidad mejorada en la consola de IAM Identity Center. 

1. Abra la consola de IAM Identity Center.

1. En el panel de navegación, seleccione **Configuración**.

1. En **Habilitar sesiones con identidad mejorada**, seleccione **Habilitar**.

1. En el segundo mensaje, seleccione **Activar**.

1. Cuando termine de habilitar las sesiones de consola con identidad mejorada, aparecerá un mensaje de confirmación en la parte superior de la página **Configuración**.

1. En la sección **Detalles**, el estado de las **Sesiones con identidad mejorada** es **Habilitado**.

## Cómo funcionan las sesiones de consola con identidad mejorada
<a name="how-identity-enhanced-sessions-work"></a>

IAM Identity Center mejora la sesión de consola actual del usuario para incluir el ID de usuario activo de IAM Identity Center y el ID de sesión de IAM Identity Center.

Las sesiones de consola con identidad mejorada incluyen los tres valores siguientes:
+ **ID de usuario del almacén de identidades** ([almacén de identidades: UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)): este valor se utiliza para identificar de forma exclusiva a un usuario en la fuente de identidad que está conectada a IAM Identity Center.
+ **Directorio de almacenes de identidades ARN** ([almacén de identidades: IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)): este valor es el ARN del almacén de identidades que está conectado a IAM Identity Center y en el que puede buscar los atributos para `identitystore:UserId`.
+ **ID de sesión del IAM Identity Center**: este valor indica si la sesión del usuario en IAM Identity Center sigue siendo válida.

Los valores son los mismos, pero se obtienen de formas distintas y se añaden en distintos puntos del proceso, en función de cómo inicie sesión el usuario:
+ **Centro de identidad de IAM (portal de AWS acceso)**: en este caso, los valores de ID de usuario y ARN del almacén de identidades del usuario ya se proporcionan en la sesión activa del Centro de identidades de IAM. IAM Identity Center mejora la sesión actual al añadir únicamente el ID de sesión.
+ **Otros métodos de inicio de sesión**: si el usuario inicia sesión en AWS como usuario de IAM, con un rol de IAM o como usuario federado con IAM, no se proporciona ninguno de estos valores. IAM Identity Center mejora la sesión actual al añadir el ID de usuario del almacén de identidades, el ARN del directorio del almacén de identidades y el ID de sesión.