Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Gestión de identidad y acceso en AWS Transit Gateway
<a name="transit-gateway-authentication-access-control"></a>

AWS utiliza credenciales de seguridad para identificarlo y concederle acceso a sus AWS recursos. Puede utilizar las funciones de AWS Identity and Access Management (IAM) para permitir que otros usuarios, servicios y aplicaciones utilicen sus AWS recursos de forma completa o limitada, sin compartir sus credenciales de seguridad.

De forma predeterminada, los usuarios de IAM no tienen permiso para crear, ver o modificar AWS recursos. Para permitir que un usuario acceda a los recursos, por ejemplo, una puerta de enlace de tránsito y realice tareas, debe crear una política de IAM que conceda al usuario permiso para utilizar los recursos específicos y las acciones de API que necesita. A continuación, asocie la política al usuario al grupo al que pertenece el usuario. Cuando se asocia una política a un usuario o grupo de usuarios, les otorga o deniega el permiso para realizar las tareas especificadas en los recursos indicados.

Para trabajar con una pasarela de tránsito, una de las siguientes políticas AWS gestionadas podría satisfacer tus necesidades:
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)

## Políticas de ejemplo para administrar las puerta de enlaces de tránsito
<a name="tgw-example-iam-policies"></a>

A continuación, se muestran políticas de IAM de ejemplo para el trabajo con puerta de enlaces de tránsito.

**Crear una puerta de enlace de tránsito con las etiquetas obligatorias**  
El siguiente ejemplo permite a los usuarios crear una puerta de enlace de tránsito. La clave de condición `aws:RequestTag` precisa que los usuarios etiqueten la puerta de enlace de tránsito con la etiqueta `stack=prod`. La clave de condición `aws:TagKeys` utiliza el modificador `ForAllValues` para indicar que solo la clave `stack` está permitida en la solicitud (no se puede especificar ninguna otra etiqueta). Si los usuarios no transmiten esta etiqueta en concreto cuando crean la puerta de enlace de tránsito o si no especifican ninguna etiqueta, la solicitud dará un error.

La segunda instrucción utiliza la clave de condición `ec2:CreateAction` para permitir a los usuarios crear etiquetas únicamente en el contexto de `CreateTransitGateway`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateTaggedTGWs",
            "Effect": "Allow",
            "Action": "ec2:CreateTransitGateway",
            "Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:transit-gateway/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/stack": "prod"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "stack"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:transit-gateway/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateTransitGateway"
                }
            }
        }
    ]
}
```

------

**Usar tablas de enrutamiento de puerta de enlaces de tránsito**  
El siguiente ejemplo permite a los usuarios crear y eliminar tablas de ruteo de puerta de enlace de tránsito solo para una puerta de enlace de tránsito específica (`tgw-11223344556677889`). Los usuarios también crean y sustituyen rutas en cualquier tabla de enrutamiento de puerta de enlace de tránsito, pero solo para las vinculaciones que tienen la etiqueta `network=new-york-office`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteTransitGatewayRouteTable",
                "ec2:CreateTransitGatewayRouteTable"
            ],
            "Resource": [
                "arn:aws:ec2:{{us-east-1}}:{{123456789012}}:transit-gateway/tgw-{{11223344556677889}}",
                "arn:aws:ec2:*:*:transit-gateway-route-table/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTransitGatewayRoute",
                "ec2:ReplaceTransitGatewayRoute"
            ],
            "Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/network": "new-york-office"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTransitGatewayRoute",
                "ec2:ReplaceTransitGatewayRoute"
            ],
            "Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*"
        }
    ]
}
```

------