Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Seguridad
<a name="security"></a>

Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este [modelo compartido](https://aws.amazon.com/compliance/shared-responsibility-model/) puede reducir la carga operativa, ya que AWS opera, administra y controla los componentes desde el sistema operativo anfitrión y la capa de virtualización hasta la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad en AWS, visite el [Centro de seguridad de AWS](https://aws.amazon.com/security/).

## Roles de IAM
<a name="iam-roles"></a>

Esta solución crea funciones de IAM para controlar y aislar los permisos, siguiendo la práctica recomendada de privilegios mínimos. La solución concede a los servicios los siguientes permisos:

## Plantilla Hub
<a name="hub-template"></a>

 `RegisterSpokeAccountsFunctionLambdaRole` 
+ Permiso de escritura para la tabla de Amazon DynamoDB en la que están registradas las cuentas radiales

 `InvokeECSTaskRole` 
+ Permiso para crear y ejecutar tareas de Amazon ECS

 `CostOptimizerAdminRole` 
+ Permisos de lectura para una tabla de Amazon DynamoDB en la que están registradas las cuentas radiales
+ Asume los permisos de rol `WorkspacesManagementRole` en las cuentas de radio
+ Permisos de solo lectura para AWS Directory Service
+ Permisos de escritura en Amazon CloudWatch Logs
+ Permisos de escritura en Amazon S3
+ Permisos de lectura y escritura para WorkSpaces

 `SolutionHelperRole` 
+ Permiso para invocar una función de AWS Lambda para generar un identificador único universal (UUID) para las métricas de la solución

## Plantilla de radios
<a name="spoke-template"></a>

 `WorkSpacesManagementRole` 
+ Permisos de solo lectura para AWS Directory Service
+ Permisos de escritura en Amazon CloudWatch Logs
+ Permisos de escritura en Amazon S3
+ Permisos de lectura y escritura para WorkSpaces

 `AccountRegistrationProviderRole` 
+ Invoque la función Lambda para registrar una cuenta radial con la pila de cuentas hub