# Identity and Access Management para Amazon VPC
AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién está *autenticado* (ha iniciado sesión) y *autorizado* (tiene permisos) para utilizar recursos de Amazon VPC. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticarse con identidades](#security_iam_authentication)
+ [Administrar el acceso con políticas](#security_iam_access-manage)
+ [Cómo funciona Amazon VPC con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas de Amazon VPC](vpc-policy-examples.md)
+ [Solucionar problemas de identidad y acceso de Amazon VPC](security_iam_troubleshoot.md)
+ [AWSPolíticas administradas por para Amazon Virtual Private Cloud](security-iam-awsmanpol.md)
+ [Uso de roles vinculados al servicio para VPC](using-service-linked-roles.md)
## Público
La forma en que utiliza AWS Identity and Access Management (IAM) difiere en función del trabajo que realiza en Amazon VPC.
**Usuario de servicio**: si utiliza el servicio de Amazon VPC para realizar su trabajo, el administrador le proporcionará las credenciales y los permisos que necesita. A medida que utilice más características de Amazon VPC para realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarlo a solicitar los permisos correctos a su administrador. Si no puede acceder a una característica de Amazon VPC, consulte [Solucionar problemas de identidad y acceso de Amazon VPC](security_iam_troubleshoot.md).
**Administrador de servicio**: si está a cargo de los recursos de Amazon VPC de su empresa, probablemente tenga acceso completo a Amazon VPC. Su trabajo consiste en determinar a qué características y recursos de Amazon VPC pueden acceder los empleados. Debe enviar solicitudes al administrador de IAM para cambiar los permisos de los usuarios de los servicios. Revise la información de esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo la empresa puede utilizar IAM con Amazon VPC, consulte [Cómo funciona Amazon VPC con IAM](security_iam_service-with-iam.md).
**Administrador de IAM**: si es un administrador de IAM, es posible que desee obtener información sobre cómo escribir políticas para administrar el acceso a Amazon VPC. Para ver ejemplos de políticas, consulte [Ejemplos de políticas de Amazon VPC](vpc-policy-examples.md).
## Autenticarse con identidades
La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Debe autenticarse como el Usuario raíz de la cuenta de AWS, como un usuario de IAM o asumiendo un rol de IAM.
Se puede iniciar sesión como una identidad federada con las credenciales de un origen de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales de Google/Facebook. Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*.
Para el acceso mediante programación, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Usuario raíz de la Cuenta de AWS
Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario raíz* de la Cuenta de AWS que tiene acceso completo a todos los Servicios de AWS y recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir que los usuarios humanos utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la *Guía del usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Se puede asumir un rol [cambiando de un usuario a un rol de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una operación de la API de la AWS CLI o AWS. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administrar el acceso con políticas
Para controlar el acceso en AWS, se crean políticas y se adjuntan a identidades o recursos de AWS. Una política define los permisos cuando se asocia a una identidad o un recurso. AWS evalúa estas políticas cuando una entidad principal realiza una solicitud. La mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No se puede utilizar políticas de IAM administradas de AWS en una política basada en recursos.
### Listas de control de acceso (ACL)
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten las ACL. Para obtener más información sobre las ACL, consulta [Información general de Lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer el máximo de permisos concedidos por los tipos de políticas más frecuentes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCP):** especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations*.
+ **Políticas de control de recursos (RCP):** definen los permisos máximos disponibles para los recursos de las cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del usuario de AWS Organizations*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para obtener información acerca de cómo AWS decide si permitir o no una solicitud cuando hay varios tipos de políticas implicados, consulte [Lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon VPC con IAM
Antes de utilizar IAM para administrar el acceso a Amazon VPC, debe conocer qué características de IAM están disponibles con Amazon VPC. Para obtener una perspectiva general sobre cómo funcionan Amazon VPC y otros servicios de AWS con IAM, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
**Topics**
+ [Acciones](#security_iam_service-with-iam-id-based-policies-actions)
+ [Recursos](#security_iam_service-with-iam-id-based-policies-resources)
+ [Claves de condición](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Políticas basadas en recursos de Amazon VPC](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas](#security_iam_service-with-iam-tags)
+ [Roles de IAM](#security_iam_service-with-iam-roles)
Con las políticas basadas en identidad de IAM, puede especificar acciones permitidas o denegadas. Para algunas acciones, puede especificar los recursos y las condiciones en los cuales se permiten o deniegan las acciones. Amazon VPC admite acciones, claves de condiciones y recursos específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
## Acciones
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos para realizar la operación asociada.
Amazon VPC comparte su espacio de nombres de la API con Amazon EC2. Las acciones de políticas de Amazon VPC utilizan el siguiente prefijo antes de la acción: `ec2:`. Por ejemplo, para conceder a un usuario permiso para crear una VPC mediante la operación de la API `CreateVpc`, se concede acceso a la acción `ec2:CreateVpc`. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`.
Para especificar varias acciones en una única instrucción, sepárelas con comas como se muestra en el siguiente ejemplo.
```
"Action": [
"ec2:action1",
"ec2:action2"
]
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción.
```
"Action": "ec2:Describe*"
```
Para ver una lista de las acciones de Amazon VPC, consulte [Acciones definidas por Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.
## Recursos
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
El recurso de VPC tiene el ARN que se muestra en el ejemplo siguiente.
```
arn:${Partition}:ec2:${Region}:${Account}:vpc/${VpcId}
```
Por ejemplo, para especificar la VPC `vpc-1234567890abcdef0` en su instrucción, utilice el ARN que se muestra en el ejemplo siguiente.
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
```
Para especificar todas las VPC de una región específica que pertenezcan a una cuenta específica, utilice el comodín (\$1).
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:vpc/*"
```
Algunas acciones de Amazon VPC, como las que se utilizan para crear recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
En muchas acciones de la API de Amazon EC2 se utilizan varios recursos. Para especificar varios recursos en una única instrucción, separe los ARN con comas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver una lista de los tipos de recursos de Amazon VPC y sus ARN, consulte [Tipos de recursos definidos por Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio*.
## Claves de condición
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Todas las acciones de Amazon EC2 admiten las claves de condición `aws:RequestedRegion` y `ec2:Region`. Para obtener más información, consulte [Ejemplo: restricción del acceso a una región específica](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#iam-example-region).
Amazon VPC define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver una lista de las claves de condición de Amazon VPC, consulte [Claves de condición para Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-policy-keys) en la *Referencia de autorizaciones de servicio*. Para obtener más información acerca de las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html#amazonec2-actions-as-permissions).
## Políticas basadas en recursos de Amazon VPC
Las políticas basadas en recursos son documentos de políticas JSON que especifican qué acciones puede realizar una entidad principal especificada en el recurso de Amazon VPC y en qué condiciones.
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la [entidad principal de una política basada en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Añadir a una política basada en recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de confianza. Cuando el principal y el recurso se encuentran en cuentas de AWS diferentes, también debe conceder a la entidad principal permiso para obtener acceso al recurso. Conceda permiso asociando a la entidad una política basada en identidades. Sin embargo, si la política basada en recursos concede acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidad adicional. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Autorización basada en etiquetas
Puede asociar etiquetas a los recursos de Amazon VPC o transferirlas en una solicitud. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política mediante las claves de condición. Para obtener más información, consulte [Conceder permisos para etiquetar recursos durante la creación](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/supported-iam-actions-tagging.html) en la *Guía del usuario de Amazon EC2*.
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Lanzar instancias en una VPC específica](vpc-policy-examples.md#subnet-ami-example-iam).
## Roles de IAM
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) es una entidad de la Cuenta de AWS que dispone de permisos específicos.
### Utilizar credenciales temporales
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS STS, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Amazon VPC admite el uso de credenciales temporales.
### Roles vinculados a servicios
Los [roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) permiten a los servicios de AWS obtener acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Las [puertas de enlaces de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/service-linked-roles.html) admiten roles vinculados a servicios.
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Amazon VPC admite roles de servicio para registros de flujo. Al crear un registro de flujo, debe elegir un rol que permita al servicio de registros de flujo acceder a CloudWatch Logs. Para obtener más información, consulte [Rol de IAM para publicar registros de flujo en CloudWatch Logs](flow-logs-iam-role.md).
# Ejemplos de políticas de Amazon VPC
De manera predeterminada, los roles de IAM no tienen permiso para crear ni modificar recursos de VPC. Tampoco pueden realizar tareas mediante la Consola de administración de AWS, la AWS CLI o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan permiso a los roles para realizar operaciones de API concretas en los recursos especificados que necesiten. El administrador debe asociar esas políticas a los roles de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizar la consola de Amazon VPC](#security_iam_id-based-policy-examples-console)
+ [Crear una VPC con una subred pública](#vpc-public-subnet-iam)
+ [Modificar y eliminar recursos de VPC](#modify-vpc-resources-iam)
+ [Administrar grupos de seguridad](#vpc-security-groups-iam)
+ [Administración de reglas de grupos de seguridad](#vpc-security-group-rules-iam)
+ [Lanzar instancias en una subred específica](#subnet-sg-example-iam)
+ [Lanzar instancias en una VPC específica](#subnet-ami-example-iam)
+ [Bloqueo de acceso público de las VPC y subredes](#vpc-bpa-example-iam)
+ [Ejemplos de políticas de Amazon VPC adicionales](#security-iam-additional-examples)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon VPC de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience a utilizar las políticas administradas de AWS y avance hacia permisos de privilegios mínimos**. Para empezar a conceder permisos a los usuarios y cargas de trabajo, utilice las *políticas administradas de AWS* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su Cuenta de AWS. Se recomienda definir políticas administradas por el cliente de AWS específicas para sus casos de uso a fin de reducir aún más los permisos. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede usar condiciones para conceder acceso a acciones de servicios si se emplean a través de un Servicio de AWS determinado como, por ejemplo, CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Solicite la autenticación multifactor (MFA)**: si se encuentra en una situación en la que necesite usuarios raíz o de IAM en su Cuenta de AWS, active la MFA para obtener una mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Utilizar la consola de Amazon VPC
Para acceder a la consola de Amazon VPC, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle mostrar y consultar los detalles sobre los recursos de Amazon VPC en la cuenta de AWS. Si se crea una política basada en identidad que es más restrictiva que los permisos necesarios mínimos, la consola no funcionará del modo esperado para las entidades (roles de IAM) que tengan esa política.
La siguiente política concede permiso a un rol para enumerar los recursos en la consola de la VPC, pero no para crearlos, actualizarlos ni eliminarlos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeClassicLinkInstances",
"ec2:DescribeClientVpnEndpoints",
"ec2:DescribeCustomerGateways",
"ec2:DescribeDhcpOptions",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeFlowLogs",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeMovingAddresses",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTags",
"ec2:DescribeTrafficMirrorFilters",
"ec2:DescribeTrafficMirrorSessions",
"ec2:DescribeTrafficMirrorTargets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcClassicLinkDnsSupport",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointConnectionNotifications",
"ec2:DescribeVpcEndpointConnections",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcEndpointServicePermissions",
"ec2:DescribeVpcEndpointServices",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetManagedPrefixListAssociations",
"ec2:GetManagedPrefixListEntries"
],
"Resource": "*"
}
]
}
```
------
No es necesario conceder permisos mínimos para la consola a los roles que solo realizan llamadas a la AWS CLI o a la API de AWS. En lugar de ello, conceda acceso únicamente a las acciones que coincidan con la operación de API que el rol necesite ejecutar.
## Crear una VPC con una subred pública
En el siguiente ejemplo se permite a los roles crear VPC, subredes, tablas de enrutamiento y puertas de enlace de Internet. Los roles también pueden asociar una puerta de enlace de Internet a una VPC y crear enrutamientos en tablas de enrutamiento. La acción `ec2:ModifyVpcAttribute` permite a los roles habilitar nombres de host de DNS para la VPC, con el fin de que cada instancia lanzada en una VPC reciba un nombre de host de DNS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:CreateVpc",
"ec2:CreateSubnet",
"ec2:DescribeAvailabilityZones",
"ec2:CreateRouteTable",
"ec2:CreateRoute",
"ec2:CreateInternetGateway",
"ec2:AttachInternetGateway",
"ec2:AssociateRouteTable",
"ec2:ModifyVpcAttribute"
],
"Resource": "*"
}
]
}
```
------
La política anterior también permite a los roles crear una VPC en la consola de Amazon VPC.
## Modificar y eliminar recursos de VPC
Es posible que desee controlar los recursos de VPC que los roles pueden modificar o eliminar. Por ejemplo, la siguiente política permite a los roles utilizar y eliminar tablas de enrutamiento que tengan la etiqueta `Purpose=Test`. La política también especifica que los roles solo pueden eliminar puertas de enlace de Internet que tengan la etiqueta `Purpose=Test`. Los roles no pueden utilizar tablas de enrutamiento ni puertas de enlace de Internet que no tengan esta etiqueta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DeleteInternetGateway",
"Resource": "arn:aws:ec2:*:*:internet-gateway/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteRouteTable",
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": "arn:aws:ec2:*:*:route-table/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Purpose": "Test"
}
}
}
]
}
```
------
## Administrar grupos de seguridad
La siguiente política permite a los roles administrar grupos de seguridad. La primera instrucción permite a los roles eliminar cualquier grupo de seguridad con la etiqueta `Stack=test` y administrar las reglas de entrada y salida de cualquier grupo de seguridad con la etiqueta `Stack=test`. La segunda instrucción exige que los roles etiqueten todos los grupos de seguridad que creen con la etiqueta `Stack=Test`. La tercera instrucción permite a los roles crear etiquetas cuando creen un grupo de seguridad. La cuarta instrucción permite a los roles ver cualquier grupo de seguridad y cualquier regla de grupo de seguridad. La quinta instrucción permite a los roles crear un grupo de seguridad en una VPC.
**nota**
AWS CloudFormation no puede utilizar esta política para crear un grupo de seguridad con las etiquetas necesarias. Si elimina la condición de la acción `ec2:CreateSecurityGroup` que requiere la etiqueta, la política funcionará.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:ModifySecurityGroupRules",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Stack": "test"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Stack": "test"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "Stack"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeVpcs",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateSecurityGroup",
"Resource": "arn:aws:ec2:*:*:vpc/*"
}
]
}
```
------
Para permitir que los roles cambien el grupo de seguridad que está asociado a una instancia, agregue la acción `ec2:ModifyInstanceAttribute` a la política.
Para permitir que los roles cambien los grupos de seguridad de una interfaz de red, agregue la acción `ec2:ModifyNetworkInterfaceAttribute` a la política.
## Administración de reglas de grupos de seguridad
Mediante la siguiente política, se concede a los roles permiso para ver todos los grupos de seguridad y las reglas de los grupos de seguridad, agregar y quitar reglas de entrada y salida para los grupos de seguridad de una VPC específica, y modificar las descripciones de las reglas de esa VPC específica. En la primera instrucción, se utiliza la clave de condición `ec2:Vpc` a fin de obtener permisos para una VPC específica.
La segunda instrucción concede a los roles permisos para describir todos los grupos de seguridad, reglas de grupos de seguridad y etiquetas. Esto permite a los roles ver las reglas de los grupos de seguridad para modificarlas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:RevokeSecurityGroupEgress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeTags"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySecurityGroupRules"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:security-group-rule/*"
}
]
}
```
------
## Lanzar instancias en una subred específica
La siguiente política concede a los roles permiso para lanzar instancias en una subred específica, así como para utilizar un grupo de seguridad determinado en la solicitud. Esta política se consigue al especificar el ARN de la subred y el ARN del grupo de seguridad. Si los roles intentan lanzar una instancia en una subred distinta o tratan de utilizar otro grupo de seguridad, se producirá un error en la solicitud (a no ser que otra política o instrucción conceda a los roles permiso para realizar tales acciones).
La política también concede permiso para utilizar el recurso de interfaz de red. Cuando se realiza el lanzamiento en una subred, la solicitud `RunInstances` crea una interfaz de red principal de manera predeterminada, de modo que el rol necesita permiso para crear este recurso cuando lanza la instancia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1::image/ami-*",
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:subnet/subnet-1234567890abcdef0",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/sg-0abcdef1234567890"
]
}
]
}
```
------
## Lanzar instancias en una VPC específica
La siguiente política concede a los roles permiso para lanzar instancias en cualquier subred de una VPC específica. Esto se consigue al aplicar en la política una clave de condición (`ec2:Vpc`) para el recurso de la subred.
La política también concede a los roles permiso para lanzar instancias utilizando solo AMI que tengan la etiqueta “`department=dev`”.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1:123456789012:subnet/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-1234567890abcdef0"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:us-east-1::image/ami-*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/*",
"arn:aws:ec2:us-east-1:123456789012:volume/*",
"arn:aws:ec2:us-east-1:123456789012:network-interface/*",
"arn:aws:ec2:us-east-1:123456789012:key-pair/*",
"arn:aws:ec2:us-east-1:123456789012:security-group/*"
]
}
]
}
```
------
## Bloqueo de acceso público de las VPC y subredes
Los siguientes ejemplos de políticas otorgan permiso a los roles para trabajar con la [característica Bloqueo de acceso público (BPA) de las VPC](security-vpc-bpa.md) para bloquear el acceso público a los recursos en las VPC y las subredes.
Ejemplo 1: permitir el acceso de solo lectura a la configuración de toda la cuenta de BPA de la VPC y a las exclusiones de BPA de la VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAReadOnlyAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Ejemplo 2: permitir el acceso completo de lectura y escritura a la configuración de toda la cuenta de BPA de la VPC y a las exclusiones de BPA de la VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VPCBPAFullAccess",
"Action": [
"ec2:DescribeVpcBlockPublicAccessOptions",
"ec2:DescribeVpcBlockPublicAccessExclusions",
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion",
"ec2:ModifyVpcBlockPublicAccessExclusion",
"ec2:DeleteVpcBlockPublicAccessExclusion"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Ejemplo 3: Permitir el acceso a todas las API de EC2, excepto modificar la configuración de BPA de la VPC y crear exclusiones.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EC2FullAccess",
"Action": [
"ec2:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "VPCBPAPartialAccess",
"Action": [
"ec2:ModifyVpcBlockPublicAccessOptions",
"ec2:CreateVpcBlockPublicAccessExclusion"
],
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
## Ejemplos de políticas de Amazon VPC adicionales
Puede encontrar otras políticas de IAM de ejemplo relacionadas con Amazon VPC en la siguiente documentación:
+ [Listas de prefijos administradas](managed-prefix-lists.md#managed-prefix-lists-iam)
+ [Replicación de tráfico](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-security.html)
+ [Gateways de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html#tgw-example-iam-policies)
+ [Puntos de conexión de VPC y servicios de punto de conexión de VPC (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/security_iam_id-based-policy-examples.html)
+ [Emparejamiento de VPC de](https://docs.aws.amazon.com/vpc/latest/peering/security-iam.html)
# Solucionar problemas de identidad y acceso de Amazon VPC
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que es posible que surjan cuando se trabaja con Amazon VPC e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en Amazon VPC](#security_iam_troubleshoot-no-permissions)
+ [No tengo autorización para realizar la operación iam:PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mi cuenta de AWS accedan a mis recursos de Amazon VPC.](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en Amazon VPC
Si la Consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción, debe ponerse en contacto con su gestionador para recibir ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
El siguiente ejemplo de error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar detalles sobre una subred pero su rol de IAM no tiene permisos `ec2:DescribeSubnets`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: ec2:DescribeSubnets on resource: subnet-id
```
En este caso, Mateo pide a su administrador que actualice la política para poder acceder a la subred.
## No tengo autorización para realizar la operación iam:PassRole
Si recibe un error que indica que no tiene autorización para llevar a cabo la acción `iam:PassRole`, sus políticas deben actualizarse para permitirle pasar un rol a Amazon VPC.
Algunos Servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de crear un nuevo rol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Amazon VPC. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su administrador de AWS. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mi cuenta de AWS accedan a mis recursos de Amazon VPC.
Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso (ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon VPC admite estas características, consulte [Cómo funciona Amazon VPC con IAM](security_iam_service-with-iam.md).
+ Para obtener información acerca de cómo proporcionar acceso a los recursos de las Cuentas de AWS de su propiedad, consulte [Proporcionar acceso a un usuario de IAM a otra cuenta de Cuenta de AWS de la que es propietario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) en la *Guía del usuario de IAM*.
+ Para obtener información acerca de cómo proporcionar acceso a sus recursos a Cuentas de AWS de terceros, consulte [Proporcionar acceso a Cuentas de AWS que son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la *Guía del usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# AWSPolíticas administradas por para Amazon Virtual Private Cloud
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está asociada la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWSPolítica administrada por : AmazonVPCFullAccess
Puede adjuntar la política `AmazonVPCFullAccess` a las identidades de IAM. Esta política otorga permisos que brindan acceso completo a Amazon VPC.
Para ver los permisos de esta política, consulte [AmazonVPCFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCFullAccess.html) en la *Referencia de políticas administradas por AWS*.
## AWSPolítica administrada por : AmazonVPCReadOnlyAccess
Puede adjuntar la política `AmazonVPCReadOnlyAccess` a las identidades de IAM. Esta política otorga permisos que brindan acceso de solo lectura a Amazon VPC.
Para ver los permisos de esta política, consulte [AmazonVPCReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCReadOnlyAccess.html) en la *Referencia de políticas administradas por AWS*.
## política administrada AWS: AmazonVPCCrossAccountNetworkInterfaceOperations
Puede asociar la política `AmazonVPCCrossAccountNetworkInterfaceOperations` a las identidades de IAM. Esta política otorga permisos que permiten a la identidad crear interfaces de red y adjuntarlas a recursos multicuenta.
Para ver los permisos de esta política, consulte [AmazonVPCCrossAccountNetworkInterfaceOperations](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonVPCCrossAccountNetworkInterfaceOperations.html) en la *Referencia de políticas administradas por AWS*.
## Política administrada por AWS: AWSServiceRoleForNATGateway
Puede asociar la política `AWSServiceRoleForNATGateway` a las identidades de IAM. Esta política concede permisos que permiten que la identidad actúe en su nombre para escalar automáticamente las puertas de enlace NAT regionales.
Para ver los permisos de esta política, consulte [AWSServiceRoleForNATGateway ](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForNATGateway.html) en la *Referencia de la política administrada de AWS*.
## Actualizaciones de Amazon VPC en las políticas administradas por AWS
Es posible consultar los detalles sobre las actualizaciones de las políticas administradas por AWS para Amazon VPC debido a que este servicio comenzó a realizar el seguimiento de estos cambios en marzo de 2021.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregaron acciones a la política administrada AWSIPAMServiceRolePolicy (ec2:ModifyManagedPrefixList, ec2:DescribeManagedPrefixLists y ec2:GetManagedPrefixListEntries) para permitir que IPAM lea y modifique las listas de prefijos administradas. | 31 de octubre de 2025 |
| [Política administrada por AWS: AWSServiceRoleForNATGateway](#security-iam-awsmanpol-AWSServiceRoleForNATGateway): política nueva | La nueva política AWSServiceRoleForNATGateway permite que la identidad escale automáticamente las puertas de enlace NAT regionales. | 19 de noviembre de 2025 |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregaron las acciones AssociateSecurityGroupVpc, DescribeSecurityGroupVpcAssociations y DisassociateSecurityGroupVpc, las cuales permiten asociar, desasociar y ver las asociaciones de grupos de seguridad con las VPC. | 9 de diciembre de 2024 |
| [AWSPolítica administrada por : AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): actualización de una política actual | Se agregó la acción DescribeSecurityGroupVpcAssociations, la cual permite ver las asociaciones de los grupos de seguridad con las VPC. | 9 de diciembre de 2024 |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregó la acción GetSecurityGroupsForVpc, que le permite obtener grupos de seguridad que se pueden usar en su VPC. | 8 de febrero de 2024 |
| [AWSPolítica administrada por : AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): actualización de una política actual | Se agregó la acción GetSecurityGroupsForVpc, que le permite obtener grupos de seguridad que se pueden usar en su VPC. | 8 de febrero de 2024 |
| [política administrada AWS: AmazonVPCCrossAccountNetworkInterfaceOperations](#security-iam-awsmanpol-AmazonVPCCrossAccountNetworkInterfaceOperations): actualización de una política actual | Se agregaron las acciones AssignIpv6Addresses y UnassignIpv6Addresses, que permiten administrar las direcciones IPv6 asociadas a las interfaces de red. | 25 de septiembre de 2023 |
| [AWSPolítica administrada por : AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): actualización de una política actual | Se agregó la acción DescribeSecurityGroupRules, que le permite ver las [reglas de los grupos de seguridad](security-group-rules.md). | 2 de agosto de 2021 |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregaron las acciones DescribeSecurityGroupRules y ModifySecurityGroupRules, que permiten ver y modificar las [reglas de los grupos de seguridad](security-group-rules.md). | 2 de agosto de 2021 |
| [AWSPolítica administrada por : AmazonVPCFullAccess](#security-iam-awsmanpol-AmazonVPCFullAccess): actualización de una política actual | Se agregaron acciones para las gateways de operador, los grupos IPv6, las gateways locales y las tablas de enrutamiento de gateways locales. | 23 de junio de 2021 |
| [AWSPolítica administrada por : AmazonVPCReadOnlyAccess](#security-iam-awsmanpol-AmazonVPCReadOnlyAccess): actualización de una política actual | Se agregaron acciones para las gateways de operador, los grupos IPv6, las gateways locales y las tablas de enrutamiento de gateways locales. | 23 de junio de 2021 |
# Uso de roles vinculados al servicio para VPC
Amazon VPC utiliza [roles vinculados al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) de AWS Identity and Access Management (IAM). Un rol vinculado al servicio es un tipo único de rol de IAM que está vinculado directamente a VPC. Los roles vinculados al servicio están predefinidos por VPC e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado al servicio facilita la configuración de VPC, ya que no es necesario agregar manualmente los permisos necesarios. VPC define los permisos de los roles vinculados al servicio y, salvo que se indique lo contrario, solo VPC puede asumir esos roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege los recursos de la VPC, ya que no puede eliminar de forma involuntaria los permisos para acceder a dichos recursos.
Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque aquellos servicios que tengan **Sí** en la columna **Roles vinculados al servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de los roles vinculados al servicio para VPC
VPC utiliza el rol vinculado al servicio denominado **AWSServiceRoleForNATGateway**. Este rol vinculado al servicio permite que Amazon VPC asigne direcciones IP elásticas en su nombre para escalar automáticamente las puertas de enlace NAT regionales, asociar y desasociar las direcciones IP elásticas existentes a las puertas de enlace NAT regionales cuando lo solicite, y describir interfaces de red para identificar la infraestructura existente y ampliarla automáticamente a nuevas zonas de disponibilidad.
El rol vinculado al servicio AWSServiceRoleForNATGateway confía en los siguientes servicios para asumir el rol:
+ `ec2-nat-gateway.amazonaws.com`
La política de permisos del rol denominada AWSNATGatewayServiceRolePolicy permite que VPC realice las siguientes acciones sobre los recursos especificados:
+ Acción: `AllocateAddress` sobre direcciones IP elásticas administradas por el servicio, para asignar direcciones IP elásticas en su nombre. Las direcciones IP elásticas administradas por el servicio se encargan automáticamente del etiquetado posterior con etiquetas administradas por el servicio y de la acción ReleaseAddress.
+ Acción: `AssociateAddress` sobre las direcciones IP elásticas existentes previamente, para asociarlas manualmente a la puerta de enlace NAT regional cuando lo solicite.
+ Acción: `DisassociateAddress` sobre las direcciones IP elásticas existentes previamente, para quitarlas de la puerta de enlace NAT regional cuando lo solicite.
+ Acción: `DescribeAddresses` para obtener información de direcciones IP públicas a partir de direcciones IP elásticas proporcionadas por el cliente durante la asociación.
+ Acción: `DescribeNetworkInterface` sobre las interfaces de red existentes, para identificar automáticamente las zonas de disponibilidad en las que reside la infraestructura y escalar horizontalmente de forma automática a nuevas zonas.
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación de un rol vinculado al servicio para VPC
No necesita crear manualmente un rol vinculado a servicios. Cuando crea una puerta de enlace NAT con un modo de disponibilidad “regional” en la Consola de administración de AWS, la AWS CLI o la API de AWS, VPC crea el rol vinculado al servicio en su nombre.
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizaba el servicio VPC antes del 1 de enero de 2017, cuando comenzó a admitir roles vinculados al servicio, VPC creó el rol AWSServiceRoleForNATGateway en la cuenta. Para obtener más información, consulte [Un nuevo rol ha aparecido en mi Cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea una puerta de enlace NAT con un modo de disponibilidad “regional”, VPC crea de nuevo el rol vinculado al servicio en su nombre.
También puede usar la consola de IAM para crear un rol vinculado al servicio con el caso de uso **AWSServiceRoleForNATGateway**. En la AWS CLI o la API de AWS, cree un rol vinculado al servicio con el nombre de servicio `ec2-nat-gateway.amazonaws.com`. Para obtener más información, consulte [Creación de un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Edición de un rol vinculado al servicio para VPC
VPC no permite que edite el rol vinculado al servicio AWSServiceRoleForNATGateway. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado al servicio para VPC
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.
**nota**
Si el servicio VPC usa el rol cuando intenta eliminar los recursos, es posible que la eliminación no se complete correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
**Para eliminar los recursos de VPC utilizados por AWSServiceRoleForNATGateway**
+ Elimine todas las puertas de enlace NAT regionales en todas las regiones en las que estén implementadas.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Use la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForNATGateway. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con roles vinculados al servicio para VPC
VPC admite el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y Regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
VPC no admite el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Puede usar el rol AWSServiceRoleForNATGateway en las siguientes regiones.
| Nombre de la región | Identidad de la región | Compatibilidad en VPC |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | Sí |
| Oeste de EE. UU. (Norte de California) | us-west-1 | Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| África (Ciudad del Cabo) | af-south-1 | Sí |
| Asia-Pacífico (Hong Kong) | ap-east-1 | Sí |
| Asia-Pacífico (Taipéi) | ap-east-2 | Sí |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 | Sí |
| Asia-Pacífico (Hyderabad) | ap-south-2 | Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 | Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 | Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | Sí |
| Asia-Pacífico (Melbourne) | ap-southeast-4 | Sí |
| Asia-Pacífico (Malasia) | ap-southeast-5 | Sí |
| Asia-Pacífico (Nueva Zelanda) | ap-southeast-6 | Sí |
| Asia-Pacífico (Tailandia) | ap-southeast-7 | Sí |
| Canadá (centro) | ca-central-1 | Sí |
| Oeste de Canadá (Calgary) | ca-west-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Zúrich) | eu-central-2 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | Sí |
| Europa (Milán) | eu-south-1 | Sí |
| Europa (España) | eu-south-2 | Sí |
| Europa (París) | eu-west-3 | Sí |
| Europa (Estocolmo) | eu-north-1 | Sí |
| Israel (Tel Aviv) | il-central-1 | Sí |
| Medio Oriente (Baréin) | me-south-1 | Sí |
| Medio Oriente (EAU) | me-central-1 | Sí |
| Medio Oriente (Arabia Saudí) | me-west-1 | Sí |
| México (centro) | mx-central-1 | Sí |
| América del Sur (São Paulo) | sa-east-1 | Sí |
| AWS GovCloud (Este de EE. UU.) | us-gov-east-1 | No |
| AWS GovCloud (Oeste de EE. UU.) | us-gov-west-1 | No |