# Administración de identidades y accesos para AWS Well-Architected Tool
AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién está *autenticado* (ha iniciado sesión) y *autorizado* (tiene permisos) para utilizar recursos de AWS WA Tool. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo AWS Well-Architected Tool funciona con IAM](security_iam_service-with-iam.md)
+ [AWS Well-Architected Tool ejemplos de políticas basadas en identidad de](security_iam_id-based-policy-examples.md)
+ [AWS Políticas de administradas por para AWS Well-Architected Tool](security-iam-awsmanpol.md)
+ [Solución de problemas de identidades de AWS Well-Architected Tool y accesos](security_iam_troubleshoot.md)
## Público
La forma de utilizar AWS Identity and Access Management (IAM) varía en función del rol:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidades de AWS Well-Architected Tool y accesos](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo AWS Well-Architected Tool funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [AWS Well-Architected Tool ejemplos de políticas basadas en identidad de](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Debe autenticarse como el Usuario raíz de la cuenta de AWS, como un usuario de IAM o asumiendo un rol de IAM.
Se puede iniciar sesión como una identidad federada con las credenciales de un origen de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales de Google/Facebook. Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*.
Para el acceso mediante programación, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Usuario raíz de la Cuenta de AWS
Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario raíz* de la Cuenta de AWS que tiene acceso completo a todos los Servicios de AWS y recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder a Servicios de AWS con credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, proveedor de identidad web o Directory Service que accede a los Servicios de AWS mediante credenciales de un origen de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir que los usuarios humanos utilicen la federación con un proveedor de identidades para acceder a AWS con credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la *Guía del usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Se puede asumir un rol [cambiando de un usuario a un rol de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una operación de la API de la AWS CLI o AWS. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
Para controlar el acceso en AWS, se crean políticas y se adjuntan a identidades o recursos de AWS. Una política define los permisos cuando se asocia a una identidad o un recurso. AWS evalúa estas políticas cuando una entidad principal realiza una solicitud. La mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No se pueden utilizar políticas de IAM administradas por AWS en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer el máximo de permisos concedidos por los tipos de políticas más frecuentes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCP):** especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations*.
+ **Políticas de control de recursos (RCP):** definen los permisos máximos disponibles para los recursos de las cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del usuario de AWS Organizations*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para obtener información acerca de cómo AWS decide si permitir o no una solicitud cuando hay varios tipos de políticas implicados, consulte [Lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo AWS Well-Architected Tool funciona con IAM
Antes de utilizar IAM para administrar el acceso a AWS WA Tool, conozca qué características de IAM se pueden utilizar con AWS WA Tool.
**Características de IAM que puede utilizar con AWS Well-Architected Tool**
| Característica de IAM | AWS WA ToolCompatibilidad con |
| --- | --- |
| [Políticas basadas en identidad](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACL](#security_iam_service-with-iam-acls) | No |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Sí |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | No |
Para obtener una perspectiva general sobre cómo funcionan AWS WA Tool y otros servicios de AWS con las características de IAM, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## AWS WA ToolPolíticas de basadas en identidades
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
## Políticas basadas en recursos de AWS WA Tool
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Las entidades principales pueden incluir cuentas, usuarios, roles, usuarios federados o Servicios de AWS.
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Cross account resource access in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Acciones de política para AWS WA Tool
**Compatibilidad con las acciones de políticas:** sí
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de políticas de AWS WA Tool utilizan el siguiente prefijo antes de la acción: `wellarchitected:`. Por ejemplo, para permitir que una entidad defina una carga de trabajo, un administrador debe asociar una política que permita acciones `wellarchitected:CreateWorkload`. Del mismo modo, para evitar que una entidad elimine cargas de trabajo, el administrador puede asociar una política que deniegue las acciones `wellarchitected:DeleteWorkload`. Las instrucciones de política deben incluir un elemento `Action` o `NotAction`. AWS WA Tool define su propio conjunto de acciones, que describen las tareas que se pueden realizar con este servicio.
Para ver una lista de las acciones de AWS WA Tool, consulte [Acciones definidas por AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.
## Recursos de políticas
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Para ver una lista de los tipos de recursos de AWS WA Tool y sus ARN, consulte [Recursos definidos por AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-actions-as-permissions).
El recurso de la carga de trabajo de AWS WA Tool tiene el siguiente ARN:
```
arn:${Partition}:wellarchitected:${Region}:${Account}:workload/${ResourceId}
```
Para obtener más información acerca del formato de los ARN, consulte [Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Encontrará el ARN en la página **Workload properties (Propiedades de la carga de trabajo)** de una carga de trabajo. Por ejemplo, para especificar una carga de trabajo específica:
```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/11112222333344445555666677778888"
```
Para especificar todas las cargas de trabajo que pertenecen a una determinada cuenta, utilice el carácter comodín (\$1):
```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/*"
```
Algunas acciones de AWS WA Tool, como las empleadas para crear y mostrar recursos, no se pueden llevar a cabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Para ver una lista de los tipos de recursos de AWS WA Tool y sus ARN, consulte [Recursos definidos por AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions).
## Claves de condición de políticas para AWS WA Tool
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puedes realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
AWS WA Tool proporciona una clave de condición específica del servicio (`wellarchitected:JiraProjectKey`) y admite el uso de algunas claves de condición globales. Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Referencia de autorizaciones de servicio*.
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
## ACL en AWS WA Tool
**Compatibilidad con ACL**: no
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## Autorización basada en etiquetas de AWS WA Tool
**Admite ABAC (etiquetas en las políticas):** sí
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede asociar etiquetas a entidades de IAM y recursos de AWS y, a continuación, diseñar políticas de ABAC para permitir operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con AWS WA Tool
**Compatibilidad con credenciales temporales:** sí
Las credenciales temporales proporcionan acceso a corto plazo a los recursos de AWS y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de usar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
## Permisos de entidades principales entre servicios de AWS WA Tool
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la entidad principal para llamar a un Servicio de AWS, combinados con el Servicio de AWS solicitante, para realizar solicitudes a servicios posteriores. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Roles de servicio para AWS WA Tool
**Compatible con roles de servicio:** No
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Creación de un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
## Roles vinculados a servicios de AWS WA Tool
**Compatibilidad con roles vinculados al servicio:** no
Un rol vinculado a servicios es un tipo de rol de servicio que está vinculado a un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# AWS Well-Architected Tool ejemplos de políticas basadas en identidad de
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS WA Tool. Tampoco pueden realizar tareas mediante la Consola de administración de AWS, la AWS CLI, o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe asociar esas políticas a los usuarios o grupos que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de AWS WA Tool](#security_iam_id-based-policy-examples-console)
+ [Permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Conceder acceso completo a las cargas de trabajo](#security_iam_id-based-policy-examples-full-access)
+ [Conceder acceso de solo lectura a las cargas de trabajo](#security_iam_id-based-policy-examples-readonly-access)
+ [Acceder a una carga de trabajo específica](#security_iam_id-based-policy-examples-access-one-workload)
+ [Uso de una clave de condición específica del servicio para el conector de AWS Well-Architected Tool para Jira](#security_iam_id-based-policy-examples-service-specific-condition-key)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de AWS WA Tool de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience a utilizar las políticas administradas de AWS y avance hacia permisos de privilegios mínimos**. Para empezar a conceder permisos a los usuarios y cargas de trabajo, utilice las *políticas administradas de AWS* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su Cuenta de AWS. Se recomienda definir políticas administradas por el cliente de AWS específicas para sus casos de uso a fin de reducir aún más los permisos. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede usar condiciones para conceder acceso a acciones de servicios si se emplean a través de un Servicio de AWS determinado como, por ejemplo, CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Solicite la autenticación multifactor (MFA)**: si se encuentra en una situación en la que necesite usuarios raíz o de IAM en su Cuenta de AWS, active la MFA para obtener una mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de AWS WA Tool
Para acceder a la consola de AWS Well-Architected Tool, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y consultar los detalles sobre los recursos de AWS WA Tool en su Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
Para asegurarse de que esas entidades puedan seguir usando la consola de AWS WA Tool, asocie también la siguiente política administrada de AWS a las entidades:
```
WellArchitectedConsoleReadOnlyAccess
```
Para permitir la creación, modificación y eliminación de cargas de trabajo, asocie la siguiente política administrada de AWS a las entidades:
```
WellArchitectedConsoleFullAccess
```
Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*.
No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
## Permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la API de AWS.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Conceder acceso completo a las cargas de trabajo
En este ejemplo, desea conceder a un usuario de su Cuenta de AWS acceso completo a las cargas de trabajo. Con el acceso completo, el usuario puede realizar todas las acciones en AWS WA Tool. Este acceso es necesario para poder definir, eliminar, ver y actualizar cargas de trabajo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:*"
],
"Resource": "*"
}
]
}
```
------
## Conceder acceso de solo lectura a las cargas de trabajo
En este ejemplo, desea conceder a un usuario de su Cuenta de AWS acceso de solo lectura a las cargas de trabajo. Con el acceso de solo lectura, el usuario exclusivamente puede ver las cargas de trabajo de AWS WA Tool.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:Get*",
"wellarchitected:List*"
],
"Resource": "*"
}
]
}
```
------
## Acceder a una carga de trabajo específica
En este ejemplo, desea conceder a un usuario de su Cuenta de AWS acceso de solo lectura a una de las cargas de trabajo, `99999999999955555555555566666666`, que se encuentra en la región `us-west-2`. El ID de la cuenta de es `777788889999`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:Get*",
"wellarchitected:List*"
],
"Resource": "arn:aws:wellarchitected:us-west-2:777788889999:workload/999999999999555555555555666666666"
}
]
}
```
------
## Uso de una clave de condición específica del servicio para el conector de AWS Well-Architected Tool para Jira
En este ejemplo, se muestra cómo usar la clave de condición específica del servicio `wellarchitected:JiraProjectKey` para controlar qué proyectos de Jira se pueden vincular a las cargas de trabajo de su cuenta.
A continuación se describen los usos pertinentes de la clave de condición:
+ **`CreateWorkload:`** al solicitar `wellarchitected:JiraProjectKey` a `CreateWorkload`, puede definir qué proyectos personalizados de Jira se pueden vincular a cualquier carga de trabajo creada por el usuario. Por ejemplo, si un usuario intenta crear una nueva carga de trabajo con el proyecto ABC, pero la política solo especifica el PQR del proyecto, se deniega la acción.
+ **`UpdateWorkload:`** al solicitar `wellarchitected:JiraProjectKey` a `UpdateWorkload`, puede definir qué proyectos personalizados de Jira se pueden vincular a esta carga de trabajo concreta o a cualquier carga de trabajo. Por ejemplo, si un usuario intenta actualizar una carga de trabajo existente con el proyecto ABC, pero la política especifica el PQR del proyecto, se deniega la acción. Además, si el usuario tiene una carga de trabajo vinculada al proyecto PQR e intenta actualizarla para vincularla al proyecto ABC, se deniega la acción.
+ **`UpdateGlobalSettings:`** al solicitar `wellarchitected:JiraProjectKey` a `UpdateGlobalSettings`, puede definir qué proyectos personalizados de Jira se pueden vincular a la Cuenta de AWS. La configuración a nivel de cuenta protege las cargas de trabajo de su cuenta y no anula la configuración de Jira a nivel de cuenta. Por ejemplo, si un usuario tiene acceso a `UpdateGlobalSettings`, no podrá vincular las cargas de trabajo de su cuenta a ningún proyecto que no esté especificado en la política.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"wellarchitected:UpdateGlobalSettings",
"wellarchitected:CreateWorkload"
],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"wellarchitected:JiraProjectKey": ["ABC, PQR"]
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"wellarchitected:UpdateWorkload"
],
"Resource": "arn:aws:wellarchitected:us-east-1:111122223333:workload/example-workload",
"Condition": {
"StringEqualsIfExists": {
"wellarchitected:JiraProjectKey": ["ABC, PQR"]
}
}
}
]
}
```
------
# AWS Políticas de administradas por para AWS Well-Architected Tool
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas por AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está asociada la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## AWS Política administrada de: WellArchitectedConsoleFullAccess
Puede asociar la política `WellArchitectedConsoleFullAccess` a las identidades de IAM.
La política concede acceso total a AWS Well-Architected Tool.
**Detalles de los permisos**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"wellarchitected:*"
],
"Resource": "*"
}
]
}
```
------
## AWS Política administrada de: WellArchitectedConsoleReadOnlyAccess
Puede asociar la política `WellArchitectedConsoleReadOnlyAccess` a las identidades de IAM.
Esta política concede acceso de solo lectura a AWS Well-Architected Tool.
**Detalles de los permisos**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wellarchitected:Get*",
"wellarchitected:List*",
"wellarchitected:ExportLens"
],
"Resource": "*"
}
]
}
```
------
## AWS Política administrada de: AWSWellArchitectedOrganizationsServiceRolePolicy
Puede asociar la política `AWSWellArchitectedOrganizationsServiceRolePolicy` a las identidades de IAM.
Esta política otorga los permisos administrativos en AWS Organizations necesarios para respaldar la integración de AWS Well-Architected Tool con Organizations. Estos permisos permiten que la cuenta de administración de la organización permita compartir recursos con AWS WA Tool.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `organizations:ListAWSServiceAccessForOrganization`: permite a las entidades principales comprobar si el acceso al servicio de AWS está habilitado para AWS WA Tool.
+ `organizations:DescribeAccount`: permite a las entidades principales recuperar información de sobre una cuenta en una organización.
+ `organizations:DescribeOrganization`: permite a las entidades principales recuperar información sobre la configuración de la organización.
+ `organizations:ListAccounts`: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización.
+ `organizations:ListAccountsForParent`: permite a las entidades principales recuperar la lista de cuentas que pertenecen a una organización de un determinado nodo raíz en la organización.
+ `organizations:ListChildren`: permite a las entidades principales recuperar la lista de cuentas y las unidades organizativas que pertenecen a una organización de un determinado nodo raíz en la organización.
+ `organizations:ListParents`: permite a las entidades principales recuperar la lista de elementos principales inmediatos especificada por la unidad organizativa o la cuenta de una organización.
+ `organizations:ListRoots`: permite a las entidades principales recuperar la lista de todos los nodos raíz de una organización.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
}
]
}
```
------
## Política administrada de AWS: AWSWELLArchitectedDiscoveryServiceRolePolicy
Puede asociar la política `AWSWellArchitectedDiscoveryServiceRolePolicy` a las identidades de IAM.
Esta política permite a AWS Well-Architected Tool acceder a los servicios de AWS y recursos relacionados con los recursos de AWS WA Tool.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `trustedadvisor:DescribeChecks`: enumera los cheques Trusted Advisor disponibles.
+ `trustedadvisor:DescribeCheckItems`: obtiene datos de cheques Trusted Advisor, incluidos el estado y los recursos marcados por Trusted Advisor.
+ `servicecatalog:GetApplication`: obtiene los detalles de una aplicación de AppRegistry.
+ `servicecatalog:ListAssociatedResources`: muestra los recursos asociados a una aplicación de AppRegistry.
+ `cloudformation:DescribeStacks`: obtiene los detalles de las pilas de CloudFormation.
+ `cloudformation:ListStackResources`: enumera los recursos asociados a las pilas de CloudFormation.
+ `resource-groups:ListGroupResources`: enumera los recursos de un ResourceGroup.
+ `tag:GetResources`: necesario para ListGroupreResources.
+ `servicecatalog:CreateAttributeGroup`: crea un grupo de atributos gestionado por el servicio cuando es necesario.
+ `servicecatalog:AssociateAttributeGroup`: asocia un grupo de atributos gestionado por un servicio a una aplicación de AppRegistry.
+ `servicecatalog:UpdateAttributeGroup`: actualiza un grupo de atributos gestionado por un servicio.
+ `servicecatalog:DisassociateAttributeGroup`: desasocia un grupo de atributos gestionado por un servicio a una aplicación de AppRegistry.
+ `servicecatalog:DeleteAttributeGroup`: elimina un grupo de atributos gestionado por el servicio cuando es necesario.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckItems"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"resource-groups:ListGroupResources",
"tag:GetResources"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:ListAssociatedResources",
"servicecatalog:GetApplication",
"servicecatalog:CreateAttributeGroup"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:AssociateAttributeGroup",
"servicecatalog:DisassociateAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/applications/*",
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
},
{
"Effect": "Allow",
"Action": [
"servicecatalog:UpdateAttributeGroup",
"servicecatalog:DeleteAttributeGroup"
],
"Resource": [
"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
]
}
]
}
```
------
## Actualizaciones de AWS a políticas administradas de AWS WA Tool
Consulte los detalles relativos a las actualizaciones de las políticas administradas de AWS para AWS WA Tool desde que este servicio empezara a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [historial de documentos](document-revisions.md) de AWS WA Tool.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Cambios en la política administrada de AWS WA Tool | Se agregó `"wellarchitected:Export*"` a ` WellArchitectedConsoleReadOnlyAccess`. | 22 de junio de 2023 |
| Política de roles de servicio agregada de AWS WA Tool | `AWSWellArchitectedDiscoveryServiceRolePolicy` añadida para permitir a AWS Well-Architected Tool acceder a los servicios y los recursos de AWS que se relaciona con los recursos de AWS WA Tool. | 3 de mayo de 2023 |
| AWS WA Tool: permisos agregados | Se ha añadido una nueva acción de concesión `ListAWSServiceAccessForOrganization` parar permitir a AWS WA Tool acceder si el acceso de servicio de AWS está habilitado para AWS WA Tool. | 22 de julio de 2022 |
| AWS WA Tool comenzó el seguimiento de los cambios | AWS WA Tool comenzó el seguimiento de los cambios de las políticas administradas de AWS. | 22 de julio de 2022 |
# Solución de problemas de identidades de AWS Well-Architected Tool y accesos
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con AWS WA Tool e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en AWS WA Tool](#security_iam_troubleshoot-no-permissions)
## No tengo autorización para realizar una acción en AWS WA Tool
Si la Consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción, debe ponerse en contacto con su gestionador para recibir ayuda. El gestionador es la persona que le proporcionó las credenciales de inicio de sesión.
En el siguiente ejemplo, se produce un error cuando el usuario *mateojackson* intenta utilizar la consola para realizar la acción `DeleteWorkload`, ya que no tiene permisos para ello.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wellarchitected:DeleteWorkload on resource: 11112222333344445555666677778888
```
En este ejemplo, debe pedir al administrador que actualice sus políticas para que pueda obtener acceso al recurso `11112222333344445555666677778888` a través de la acción `wellarchitected:DeleteWorkload`.