Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS X-Ray
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que se ejecuta Servicios de AWS en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener información sobre los programas de conformidad que se aplican a X-Ray, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por lo Servicio de AWS que utilice. Usted también es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables.
Esta documentación lo ayudará a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza X-Ray. En los siguientes temas, se le mostrará cómo configurar X-Ray para cumplir sus objetivos de seguridad y conformidad. También aprenderá a usar otros Servicios de AWS que pueden ayudarlo a monitorear y proteger sus recursos de X-Ray.
**Temas**
+ [Protección de los datos en AWS X-Ray](xray-console-encryption.md)
+ [Administración de identidad y acceso para AWS X-Ray](security-iam.md)
+ [Validación de conformidad para AWS X-Ray](compliance-validation.md)
+ [Resiliencia en AWS X-Ray](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en () AWS X-Ray](infrastructure-security.md)
# Protección de los datos en AWS X-Ray
AWS X-Ray siempre cifra los registros de seguimiento y los datos en reposo relacionados. Cuando necesite auditar y deshabilitar las claves de cifrado por motivos internos o de conformidad, puede configurar X-Ray para que utilice una AWS Key Management Service (AWS KMS) a la hora de cifrar los datos.
X-Ray proporciona una Clave administrada de AWS denominada `aws/xray`. Utilice esta clave únicamente cuando desee [auditar el uso de claves en AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html) y no la propia clave. Cuando necesite administrar el acceso a la clave o configurar la rotación de claves, puede [crear una clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
Si cambia la configuración de cifrado, X-Ray tardará algún tiempo en generar y propagar las claves de datos. Aunque la nueva clave se esté procesando, X-Ray puede cifrar los datos utilizando la configuración anterior y la nueva de forma combinada. Si se modifica la configuración de cifrado, los datos existentes no volverán a cifrarse.
**nota**
AWS KMS genera costos cuando X-Ray utiliza una clave de KMS para cifrar o descifrar los datos de rastro.
**Cifrado predeterminado**: gratuito.
**Clave administrada de AWS**: se paga por el uso de las claves.
**Clave administrada por el cliente**: se paga por el uso y el almacenamiento de las claves.
Para obtener más información, consulte [AWS Key Management Service Pricing](https://aws.amazon.com/kms/pricing/).
**nota**
Las notificaciones de información de X-Ray envían eventos a Amazon EventBridge, que actualmente no admite claves administradas por el cliente. Para obtener más información, consulte [Protección de datos en Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/data-protection.html).
Debe tener acceso de nivel de usuario a una clave administrada por el cliente para configurar X-Ray, utilizarlo y, a continuación, consultar los rastros cifrados. Para obtener más información, consulte [Permisos de usuario para cifrado](security_iam_service-with-iam.md#xray-permissions-encryption).
------
#### [ CloudWatch console ]
**Para configurar X-Ray de manera que utilice una clave de KMS para el cifrado mediante la consola de CloudWatch**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Elija **Configuración** en el panel de navegación izquierdo.
1. Elija **Ver ajustes** en **Cifrado** dentro de la sección de **Rastros de X-Ray**.
1. Elija **Editar** en la sección **Configuración del cifrado**.
1. Elija **Usar una clave de KMS**.
1. Elija una clave en el menú desplegable:
+ **aws/xray**: utilice la Clave administrada de AWS.
+ *Alias de clave*: utilice una clave administrada por el cliente en su cuenta.
+ **Especifique manualmente un ARN de clave**: utilice una clave administrada por el cliente en una cuenta diferente. En el campo que aparece, escriba el nombre de recurso de Amazon (ARN) completo.
1. Elija **Actualizar el cifrado**.
------
#### [ X-Ray console ]
**Para configurar X-Ray de manera que utilice una clave de KMS para el cifrado mediante la consola de X-Ray**
1. Abra la [consola de X-Ray](https://console.aws.amazon.com/xray/home#).
1. Seleccione **Encryption (Cifrado)**.
1. Elija **Usar una clave de KMS**.
1. Elija una clave en el menú desplegable:
+ **aws/xray**: utilice la Clave administrada de AWS.
+ *Alias de clave*: utilice una clave administrada por el cliente en su cuenta.
+ **Especifique manualmente un ARN de clave**: utilice una clave administrada por el cliente en una cuenta diferente. En el campo que aparece, escriba el nombre de recurso de Amazon (ARN) completo.
1. Seleccione **Aplicar**.
------
**nota**
X-Ray no es compatible con claves de KMS asimétricas.
Si X-Ray no puede obtener acceso a la clave de cifrado, deja de almacenar los datos. Esto puede ocurrir si el usuario pierde acceso a la clave de KMS o si se deshabilita una clave que actualmente está en uso. Cuando esto sucede, X-Ray muestra una notificación en la barra de navegación.
Para configurar las opciones de cifrado con la API de X-Ray, consulte [Configuración de los ajustes de muestreo, grupos y cifrado con la AWS X-Ray API](xray-api-configuration.md).
# Administración de identidad y acceso para AWS X-Ray
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede estar *autenticado* (ha iniciado sesión) y *autorizado* (tiene permisos) para utilizar recursos de X-Ray. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo AWS X-Ray funciona con IAM](security_iam_service-with-iam.md)
+ [AWS X-Ray ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)
+ [Solución de problemas AWS X-Ray de identidad y acceso](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS X-Ray de identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo AWS X-Ray funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [AWS X-Ray ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo AWS X-Ray funciona con IAM
Antes de utilizar IAM para administrar el acceso a X-Ray, debe comprender qué características de IAM están disponibles para su uso con X-Ray. Para obtener una visión general de cómo X-Ray y otros Servicios de AWS funcionan con IAM, consulte [Servicios de AWS That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
Puedes usar AWS Identity and Access Management (IAM) para conceder permisos de X-Ray a los usuarios y los recursos informáticos de tu cuenta. IAM controla el acceso al servicio X-Ray a nivel de la API para aplicar los permisos de manera uniforme, independientemente del cliente (consola, AWS SDK AWS CLI) que empleen sus usuarios.
Para [utilizar la consola de X-Ray](aws-xray-interface-console.md#xray-console) para ver mapas de rastros y segmentos, solo necesita permisos de lectura. Para habilitar el acceso a la consola, añada la `AWSXrayReadOnlyAccess` [política administrada](security_iam_id-based-policy-examples.md#xray-permissions-managedpolicies) al usuario de IAM.
Para [desarrollo local y pruebas](#xray-permissions-local), cree un rol de IAM con permisos de lectura y escritura. [Asuma el rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) y almacene las credenciales temporales para el rol. Puede usar estas credenciales con el daemon X-Ray AWS CLI, el y el AWS SDK. Para obtener más información, consulte [Uso de credenciales de seguridad temporales con AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli).
Para [implementar su aplicación instrumentada AWS](#xray-permissions-aws), cree una función de IAM con permisos de escritura y asígnela a los recursos que ejecutan la aplicación. `AWSXRayDaemonWriteAccess`incluye permisos para cargar trazas y algunos permisos de lectura para permitir el uso de reglas de [muestreo](xray-console-sampling.md).
Las políticas de lectura y escritura no incluyen permiso para configurar la [configuración de clave de cifrado](xray-console-encryption.md) y reglas de muestreo. Se utiliza `AWSXrayFullAccess` para acceder a estos ajustes o para añadir [la configuración APIs](xray-api-configuration.md) en una política personalizada. Para el cifrado y el descifrado con una clave administrada por el cliente que cree, también necesita [permiso para utilizar la clave](#xray-permissions-encryption).
**Topics**
+ [Políticas de X-Ray basadas en identidades](#security_iam_service-with-iam-id-based-policies)
+ [Políticas de X-Ray basadas en recursos](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas de X-Ray](#security_iam_service-with-iam-tags)
+ [Ejecutar la aplicación de forma local](#xray-permissions-local)
+ [Ejecutar la aplicación en AWS](#xray-permissions-aws)
+ [Permisos de usuario para cifrado](#xray-permissions-encryption)
## Políticas de X-Ray basadas en identidades
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. X-Ray admite acciones, claves de condición y recursos específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones de políticas de X-Ray utilizan el siguiente prefijo antes de la acción: `xray:`. Por ejemplo, para conceder a alguien permiso para recuperar detalles de los recursos de grupo con la operación de la API `GetGroup` de X-Ray, incluya la acción `xray:GetGroup` en su política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. X-Ray define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"xray:action1",
"xray:action2"
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Get`, incluya la siguiente acción:
```
"Action": "xray:Get*"
```
Para ver una lista de las acciones de X-Ray, consulte [Acciones definidas por AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html) en la *Guía del usuario de IAM*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Puede controlar el acceso a los recursos a través de una política de IAM. Para las acciones que admiten permisos de nivel de recursos, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política.
Es posible utilizar todas las acciones de X-Ray en una política de IAM para conceder o denegar permiso a los usuarios para utilizar esa acción. Sin embargo, no todas las [acciones de X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) admiten permisos de nivel de recursos, que le permiten especificar los recursos en los que se puede realizar una acción.
Para las acciones que no admiten permisos de nivel de recursos, debe utilizar "`*`" como recurso.
Las siguientes acciones de X-Ray admiten permisos de nivel de recursos:
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
A continuación, se muestra un ejemplo de una política de permisos basada en identidad para una acción `CreateGroup`: El ejemplo muestra el uso de un ARN relacionado con el nombre de grupo `local-users` con el ID único como elemento comodín. El ID único se genera cuando se crea el grupo y, por lo tanto, no puede predecirse en la política con antelación. Cuando se utiliza `GetGroup`, `UpdateGroup` o `DeleteGroup`, puede definir esto como un elemento comodín o el ARN exacto, incluido el ID.
**nota**
El ARN de una regla de muestreo se define por su nombre. A diferencia de las grupales ARNs, las reglas de muestreo no tienen un ID generado de forma única.
Para ver una lista de los tipos de recursos de X-Ray y sus ARNs correspondientes, consulte [Recursos definidos por AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html#awsx-ray-resources-for-iam-policies) en la *Guía del usuario de IAM*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html).
### Claves de condición
X-Ray no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la Guía del *usuario de IAM*.
### Ejemplos
Para ver ejemplos de políticas basadas en identidad de X-Ray, consulte [AWS X-Ray ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md).
## Políticas de X-Ray basadas en recursos
X-Ray admite políticas basadas en recursos para la Servicio de AWS integración actual y futura, como el rastreo activo de [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-active-tracing.html). Las políticas basadas en recursos de X-Ray se pueden actualizar por otros Consola de administración de AWS, o mediante el AWS SDK o la CLI. Por ejemplo, la consola de Amazon SNS intenta configurar automáticamente una política basada en recursos para enviar rastros a X-Ray. En el siguiente documento de política se proporciona un ejemplo de configuración manual de una política basada en recursos de X-Ray.
**Example Ejemplo de política basada en recursos de X-Ray para el rastreo activo de Amazon SNS**
En este ejemplo de documento de política se especifican los permisos que Amazon SNS necesita para enviar datos de rastro a X-Ray:
```
{
Version: "2012-10-17",
Statement: [
{
Sid: "SNSAccess",
Effect: Allow,
Principal: {
Service: "sns.amazonaws.com",
},
Action: [
"xray:PutTraceSegments",
"xray:GetSamplingRules",
"xray:GetSamplingTargets"
],
Resource: "*",
Condition: {
StringEquals: {
"aws:SourceAccount": "account-id"
},
StringLike: {
"aws:SourceArn": "arn:partition:sns:region:account-id:topic-name"
}
}
}
]
}
```
Utilice la CLI para crear una política basada en recursos que dé a Amazon SNS permisos para enviar datos de rastro a X-Ray:
```
aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }'
```
Para usar estos ejemplos, sustituya*`partition`*, *`region`**`account-id`*, y *`topic-name`* por su AWS partición, región, ID de cuenta y nombre de tema de Amazon SNS específicos. Para dar permiso a todos los temas de Amazon SNS para que envíen datos de rastro a X-Ray, sustituya el nombre del tema por `*`.
## Autorización basada en etiquetas de X-Ray
Puede adjuntar etiquetas a los grupos o las reglas de muestreo de X-Ray, o pasar las etiquetas en una solicitud a X-Ray. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `xray:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información acerca del etiquetado de recursos de X-Ray, consulte [Etiquetado de reglas de muestreo y grupos de X-Ray](xray-tagging.md).
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Gestión del acceso a los grupos de rayos X y a las reglas de muestreo en función de las etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-manage-sampling-tags).
## Ejecutar la aplicación de forma local
Su aplicación instrumentada envía datos de rastro al daemon de X-Ray. El daemon almacena en búfer documentos de segmento y los carga en lotes en el servicio X-Ray. El daemon necesita permisos de escritura para cargar los datos de rastro y telemetría en el servicio X-Ray.
Al [ejecutar el daemon de forma local](xray-daemon-local.md), se crea un rol de IAM, se [asume el rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) y se almacenan las credenciales temporales en variables de entorno o en un archivo denominado `credentials` dentro de una carpeta denominada `.aws` en la carpeta de usuario. Para obtener más información, consulte [Uso de credenciales de seguridad temporales con AWS CLI](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli).
**Example \$1/.aws/credentials**
```
[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={AWS session token}
```
Si ya configuró las credenciales para usarlas con el AWS SDK o AWS CLI, el daemon puede usarlas. En caso de que haya varios perfiles disponibles, el daemon utilizará el perfil predeterminado.
## Ejecutar la aplicación en AWS
Cuando ejecute la aplicación AWS, utilice un rol para conceder permiso a la instancia de Amazon EC2 o a la función Lambda que ejecuta el daemon.
+ **Amazon Elastic Compute Cloud (Amazon EC2)**: cree un rol de IAM y adjúntelo a la instancia de EC2 como [perfil de instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html).
+ **Amazon Elastic Container Service (Amazon ECS)**: cree un rol de IAM y adjúntelo a las instancias de contenedor como [rol de IAM de instancia de contenedor](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html).
+ **AWS Elastic Beanstalk (Elastic Beanstalk): Elastic** [Beanstalk incluye los permisos de X-Ray en su perfil de instancia predeterminado.](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/concepts-roles.html#concepts-roles-instance) Puede usar el perfil de instancia predeterminado o añadir permisos de escritura a un perfil de instancia personalizado.
+ **AWS Lambda (Lambda)**: agrega permisos de escritura a la función de ejecución de la función.
**Para crear un rol y usarlo con X-Ray**
1. Abra la [consola de IAM](https://console.aws.amazon.com/iam/home).
1. Elija **Roles**.
1. Elija **Crear nuevo rol**.
1. En **Role Name (Nombre del rol)**, escriba **xray-application**. Elija **Paso siguiente**.
1. En **Role Type (Tipo de rol)**, elija **Amazon EC2**.
1. Adjunte la siguiente política administrada para que la aplicación tenga acceso a los Servicios de AWS:
+ **AWSXRayDaemonWriteAccess**— Da permiso al daemon de X-Ray para cargar datos de rastreo.
Si su aplicación usa el AWS SDK para acceder a otros servicios, añada políticas que permitan el acceso a esos servicios.
1. Elija **Paso siguiente**.
1. Seleccione **Crear rol**.
## Permisos de usuario para cifrado
X-Ray cifra todos los datos de rastro y de forma predeterminada y puede [configurarlo para que use una clave que usted administre](xray-console-encryption.md). Si elige una clave administrada por el AWS Key Management Service cliente, debe asegurarse de que la política de acceso de la clave le permita conceder permiso a X-Ray para usarla para cifrar. Otros usuarios de su cuenta también tienen que obtener acceso a la clave para ver los datos de rastro cifrados en la consola de X-Ray.
Para una clave administrada por el cliente, configure su clave con una política de acceso que permita las siguientes acciones:
+ El usuario que configura la clave en X-Ray tiene permisos para llamar a `kms:CreateGrant` y `kms:DescribeKey`.
+ Los usuarios que pueden tener acceso a los datos de rastreo cifrados tienen permiso para llamar a `kms:Decrypt`.
Cuando se añade un usuario al grupo **Usuarios clave** en la sección de configuración de clave de la consola de , tienen permisos para ambas operaciones. Los permisos solo deben estar establecidos en la política de claves, por lo que no necesitas ningún AWS KMS permiso para tus usuarios, grupos o funciones. Para obtener más información, consulte [Uso de políticas clave en la Guía para AWS KMS desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
Para el cifrado predeterminado, o si elige la CMK (`aws/xray`) AWS administrada, el permiso depende de quién tenga acceso a X-Ray APIs. Cualquier persona con acceso a [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html), incluido en `AWSXrayFullAccess`, puede cambiar la configuración de cifrado. Para evitar que un usuario cambie la clave de cifrado, no le conceda permiso para utilizar [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html).
# AWS X-Ray ejemplos de políticas basadas en la identidad
De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de X-Ray. Tampoco pueden realizar tareas con la API Consola de administración de AWS AWS CLI, o AWS . Un administrador debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola de X-Ray](#security_iam_id-based-policy-examples-console)
+ [Permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Gestión del acceso a los grupos de rayos X y a las reglas de muestreo en función de las etiquetas](#security_iam_id-based-policy-examples-manage-sampling-tags)
+ [Políticas administradas por IAM para X-Ray](#xray-permissions-managedpolicies)
+ [Actualizaciones de X-Ray a las políticas AWS gestionadas](#xray-permissions-managedpolicies-history)
+ [Especificación de un recurso en una política de IAM](#xray-permissions-resources)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de X-Ray de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos en muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de X-Ray
Para acceder a la AWS X-Ray consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de X-Ray de su propiedad Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
Para garantizar que esas entidades puedan seguir utilizando la consola de X-Ray, adjunte la política `AWSXRayReadOnlyAccess` AWS gestionada a las entidades. Esta política se describe con más detalle en [las políticas administradas por IAM para X-Ray](#xray-permissions-managedpolicies). Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*.
No es necesario conceder permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
## Permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Gestión del acceso a los grupos de rayos X y a las reglas de muestreo en función de las etiquetas
Puede utilizar las condiciones de su política basada en la identidad para controlar el acceso a los grupos y reglas de muestreo de X-Ray basados en etiquetas. El siguiente ejemplo de política podría utilizarse para denegar a un rol de usuario los permisos para crear, eliminar o actualizar grupos con las etiquetas `stage:prod` o`stage:preprod`. Para obtener más información sobre el etiquetado de las reglas y grupos de muestreo de rayos X, consulte [Etiquetado de reglas de muestreo y grupos de X-Ray](xray-tagging.md).
Para denegar la creación de una regla de muestreo, utilice esta `aws:RequestTag` opción para indicar las etiquetas que no se pueden transferir como parte de una solicitud de creación. Para denegar la actualización o la eliminación de una regla de muestreo, utilice esta `aws:ResourceTag` opción para denegar las acciones basadas en las etiquetas de esos recursos.
Puede adjuntar estas políticas (o combinarlas en una sola política y, a continuación, adjuntar la política) a los usuarios de su cuenta. Para que el usuario realice cambios en un grupo o regla de muestreo, el grupo o la regla de muestreo no debe estar etiquetado `stage=prepod` o `stage=prod`. La clave de la etiqueta de condición `Stage` coincide con los nombres de las claves de condición `Stage` y `stage` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información acerca de las claves de condición, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
Un usuario con un rol que tenga la siguiente política adjunta no puede agregar la etiqueta `role:admin` a los recursos ni eliminar etiquetas de un recurso que esté `role:admin` asociada a ella.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyRequestTagAdmin",
"Effect": "Deny",
"Action": "xray:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/role": "admin"
}
}
},
{
"Sid": "DenyResourceTagAdmin",
"Effect": "Deny",
"Action": "xray:UntagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/role": "admin"
}
}
}
]
}
```
------
## Políticas administradas por IAM para X-Ray
A fin de facilitar la concesión de permisos, IAM admite **políticas administradas** en cada servicio. Un servicio puede actualizar estas políticas administradas con nuevos permisos cuando publique nuevos permisos. APIs AWS X-Ray proporciona políticas administradas para casos de uso de solo lectura, solo de escritura y de administrador.
+ `AWSXrayReadOnlyAccess`— Lea los permisos para usar la consola de X-Ray o el AWS SDK para obtener datos de rastreo, mapas de rastreo, información y configuración de X-Ray desde la API de X-Ray. AWS CLI Incluye el administrador de acceso a la observabilidad (OAM) `oam:ListSinks` y `oam:ListAttachedSinks` permisos que permiten a la consola ver los rastreos compartidos desde las cuentas de origen como parte de la observabilidad [CloudWatch entre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) cuentas. Las acciones `BatchGetTraceSummaryById` y de la `GetDistinctTraceGraphs` API no están diseñadas para que el código las invoque y, por lo tanto, no están incluidas en el comando y. AWS CLI AWS SDKs
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries",
"xray:BatchGetTraces",
"xray:BatchGetTraceSummaryById",
"xray:GetDistinctTraceGraphs",
"xray:GetServiceGraph",
"xray:GetTraceGraph",
"xray:GetTraceSummaries",
"xray:GetGroups",
"xray:GetGroup",
"xray:ListTagsForResource",
"xray:ListResourcePolicies",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetInsightSummaries",
"xray:GetInsight",
"xray:GetInsightEvents",
"xray:GetInsightImpactGraph",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
}
```
+ `AWSXRayDaemonWriteAccess`— Permisos de escritura para usar el daemon de X-Ray o el AWS SDK para cargar documentos de segmentos y telemetría a la API de X-Ray. AWS CLI Incluye permisos de lectura para obtener [reglas de muestreo](xray-console-sampling.md) y notificar los resultados de muestreo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
+ `AWSXrayCrossAccountSharingConfiguration`: otorga permisos para crear, administrar y ver los enlaces de Observability Access Manager para compartir los recursos de X-Ray entre cuentas. Se usa para permitir la [observabilidad CloudWatch entre cuentas entre cuentas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) de origen y de monitoreo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:Link",
"oam:ListLinks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
}
]
}
```
------
+ `AWSXrayFullAccess`— Permiso para usar todos los X-Ray APIs, incluidos los permisos de lectura, los permisos de escritura y el permiso para configurar los ajustes de las claves de cifrado y las reglas de muestreo. Incluye el administrador de acceso a la observabilidad (OAM) `oam:ListSinks` y `oam:ListAttachedSinks` permisos que permiten a la consola ver las trazas compartidas desde las cuentas de origen como parte de la observabilidad [CloudWatch entre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) cuentas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:*",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
]
}
```
------
**Para añadir una política administrada a un usuario, un grupo o un rol de IAM**
1. Abra la [consola de IAM](https://console.aws.amazon.com/iam/home).
1. Abra el rol asociado a su perfil de instancia, al usuario de IAM o al grupo de usuarios de IAM.
1. En **Permissions (Permisos)**, asocia la política administrada.
## Actualizaciones de X-Ray a las políticas AWS gestionadas
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de X-Ray desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página del [historial de documentos](document-history.md) de X-Ray.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [Políticas administradas por IAM para X-Ray](#xray-permissions-managedpolicies): se agregaron nuevas políticas `AWSXrayCrossAccountSharingConfiguration` y se actualizaron las políticas `AWSXrayReadOnlyAccess` y `AWSXrayFullAccess`. | X-Ray agregó permisos de Observability Access Manager (OAM) `oam:ListSinks` y `oam:ListAttachedSinks` a estas políticas para permitir que la consola vea los rastros compartidos desde las cuentas de origen como parte de la observabilidad [CloudWatch entre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) cuentas. | 27 de noviembre de 2022 |
| [Políticas administradas por IAM para X-Ray](#xray-permissions-managedpolicies): actualización de la política `AWSXrayReadOnlyAccess`. | X-Ray agregó una acción de API, `ListResourcePolicies`. | 15 de noviembre de 2022 |
| [Uso de la consola X-Ray](#security_iam_id-based-policy-examples-console): actualización de la política `AWSXrayReadOnlyAccess` | X-Ray agregó dos nuevas acciones de API `BatchGetTraceSummaryById` y `GetDistinctTraceGraphs`. Estas acciones API no se han diseñado para que se llamen desde el código. Por lo tanto, estas acciones de la API no están incluidas en la sección y. AWS CLI AWS SDKs | 11 de noviembre de 2022 |
## Especificación de un recurso en una política de IAM
Puede controlar el acceso a los recursos a través de una política de IAM. Para las acciones que admiten permisos de nivel de recursos, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política.
Es posible utilizar todas las acciones de X-Ray en una política de IAM para conceder o denegar permiso a los usuarios para utilizar esa acción. Sin embargo, no todas las [acciones de X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) admiten permisos de nivel de recursos, que le permiten especificar los recursos en los que se puede realizar una acción.
Para las acciones que no admiten permisos de nivel de recursos, debe utilizar "`*`" como recurso.
Las siguientes acciones de X-Ray admiten permisos de nivel de recursos:
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
A continuación, se muestra un ejemplo de una política de permisos basada en identidad para una acción `CreateGroup`: El ejemplo muestra el uso de un ARN relacionado con el nombre de grupo `local-users` con el ID único como elemento comodín. El ID único se genera cuando se crea el grupo y, por lo tanto, no puede predecirse en la política con antelación. Cuando se utiliza `GetGroup`, `UpdateGroup` o `DeleteGroup`, puede definir esto como un elemento comodín o el ARN exacto, incluido el ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateGroup"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
]
}
]
}
```
------
A continuación, se muestra un ejemplo de una política de permisos basada en identidad para una acción `CreateSamplingRule`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateSamplingRule"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
]
}
]
}
```
------
**nota**
El ARN de una regla de muestreo se define por su nombre. A diferencia del grupo ARNs, las reglas de muestreo no tienen un ID generado de forma única.
# Solución de problemas AWS X-Ray de identidad y acceso
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con X-Ray e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en X-Ray.](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar lo siguiente: PassRole](#security_iam_troubleshoot-passrole)
+ [Soy administrador y deseo permitir que otros obtengan acceso a X-Ray.](#security_iam_troubleshoot-admin-delegate)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de X-Ray](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en X-Ray.
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
En el siguiente ejemplo, el error se produce cuando el usuario de `mateojackson` intenta utilizar la consola para ver detalles sobre una regla de muestreo, pero no tiene permisos `xray:GetSamplingRules`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: xray:GetSamplingRules on resource: arn:${Partition}:xray:${Region}:${Account}:sampling-rule/${SamplingRuleName}
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso de regla de muestreo mediante la acción `xray:GetSamplingRules`.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a X-Ray.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada al servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en X-Ray. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Soy administrador y deseo permitir que otros obtengan acceso a X-Ray.
Para permitir que otras personas accedan a X-Ray, debe conceder permiso a las personas o aplicaciones que lo necesiten. Si usa AWS IAM Identity Center para administrar las personas y las aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
Si no utiliza IAM Identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debe adjuntar una política a la entidad que le conceda los permisos correctos en X-Ray. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de X-Ray
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para obtener información acerca de si X-Ray admite estas características, consulte [Cómo AWS X-Ray funciona con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Registro y monitorización en AWS X-Ray
La monitorización es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de sus soluciones de AWS. Debe recopilar datos de supervisión de todas las partes de su solución de AWS para que pueda depurar un error multipunto de una forma más fácil si se produce. AWS proporciona varias herramientas para supervisar sus recursos de X-Ray y responder a posibles incidentes:
**Registros de AWS CloudTrail**
AWS X-Ray se integra con AWS CloudTrail para registrar las acciones de la API realizadas por un usuario, un rol o un servicio de AWS en X-Ray. Puede utilizar CloudTrail para supervisar las solicitudes de la API de X-Ray en tiempo real y almacenar registros en Amazon S3, Registros de Amazon CloudWatch y Eventos de Amazon CloudWatch. Para obtener más información, consulte [Registro de llamadas a la API X-Ray con AWS CloudTrail](xray-api-cloudtrail.md).
**AWS ConfigSeguimiento de **
AWS X-Ray se integra en AWS Config para registrar cambios de configuración realizados en los recursos de cifrado de X-Ray. Puede utilizar AWS Config para realizar un inventario de recursos de cifrado de X-Ray, auditar el historial de configuración de X-Ray y enviar notificaciones basadas en los cambios de recursos. Para obtener más información, consulte [Rastreo de los cambios en la configuración de cifrado de X-Ray con AWS Config](xray-api-config.md).
**Supervisión de Amazon CloudWatch**
Puede usar el SDK de X-Ray para Java con el fin de publicar métricas de Amazon CloudWatch sin muestrear de los segmentos de X-Ray recopilados. Estas métricas se derivan de la hora de inicio y finalización del segmento, y los marcadores de estado limitado, fallo y error. Utilice estas métricas de seguimiento para exponer los reintentos y los problemas de dependencia con los subsegmentos. Para obtener más información, consulte [AWS X-Ray métricas del X-Ray SDK para Java](xray-sdk-java.md#xray-sdk-java-monitoring).
# Validación de conformidad para AWS X-Ray
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia en AWS X-Ray
La infraestructura global de AWS se divide en Regiones de AWS y zonas de disponibilidad. Las Regiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre las Regiones de AWS y las zonas de disponibilidad, consulte la [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
# Seguridad de la infraestructura en () AWS X-Ray
Como se trata de un servicio administrado, AWS X-Ray está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte [Seguridad en la nube de AWS](https://aws.amazon.com/security/). Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de la infraestructura, consulte [Protección de la infraestructura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) en *Portal de seguridad de AWS Well‐Architected Framework*.
Puede utilizar llamadas a API publicadas por AWS para acceder a X-Ray a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
# Uso de AWS X-Ray con puntos de conexión de la VPC
Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus recursos de AWS, puede establecer una conexión privada entre su VPC y X-Ray. Eso habilitará recursos en su Amazon VPC para comunicarse con el servicio de X-Ray sin pasar por la Internet pública.
Amazon VPC es un Servicio de AWS que puede utilizar para lanzar recursos de AWS en una red virtual que usted defina. Con una VPC, puede controlar la configuración de la red, como el rango de direcciones IP, las subredes, las tablas de enrutamiento y las puertas de enlace de red. Para conectar una VPC a X-Ray, debe definir un [punto de conexión de VPC de tipo interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html). El punto de conexión ofrece conectividad escalable de confianza con X-Ray sin necesidad de utilizar una puerta de enlace de Internet, una instancia de traducción de direcciones de red (NAT) o una conexión de VPN. Para obtener más información, consulte [¿Qué es Amazon VPC?)](https://docs.aws.amazon.com/vpc/latest/userguide/) en la *Guía del usuario de Amazon VPC*.
Los puntos de conexión de la VPC de tipo interfaz utilizan la tecnología de AWS PrivateLink, una tecnología de AWS que permite la comunicación privada entre los Servicios de AWS mediante una interfaz de red elástica con direcciones IP privadas. Para obtener más información, consulte la publicación del blog [New – AWS PrivateLink for Servicios de AWS](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/) y [Getting Started](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) en la *Guía del usuario de Amazon VPC*.
Para asegurarse de que puede crear un punto de conexión de VPC para X-Ray en la Región de AWS que usted desea, consulte [Regiones admitidas](#xray-vpc-availability).
## Creación de un punto de conexión de VPC para X-Ray
Para comenzar a utilizar X-Ray con su VPC, cree un punto de conexión de VPC de tipo interfaz para X-Ray.
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Navegue hasta los **puntos de conexión** en el panel de navegación y seleccione **Crear punto de conexión**.
1. Busque y seleccione el nombre del servicio de AWS X-Ray: `com.amazonaws.region.xray`.
![\[Seleccione el servicio.\]](http://docs.aws.amazon.com/es_es/xray/latest/devguide/images/xray-vpc-select-service.png)
1. Seleccione la VPC que desee y, a continuación, seleccione una subred de la VPC para utilizar el punto de conexión de tipo interfaz. Se creará una interfaz de red de punto de conexión en la subred seleccionada. Puede especificar más de una subred en zonas de disponibilidad distintas (si el servicio lo admite) para asegurarse de que el punto de conexión de interfaz sea resistente a errores de zonas de disponibilidad. Si lo hace, se crea una interfaz de red en cada subred que especifique.
![\[Seleccione VPC y subred.\]](http://docs.aws.amazon.com/es_es/xray/latest/devguide/images/xray-vpc-select-vpc.png)
1. (Opcional) El DNS privado está habilitado de forma predeterminada para el punto de conexión, de modo que pueda realizar solicitudes a X-Ray mediante el nombre de host de DNS predeterminado. Si lo desea, puede deshabilitarlo.
1. Especificar los grupos de seguridad que se asociarán a la interfaz de red de punto de conexión.
![\[Seleccione grupos de seguridad.\]](http://docs.aws.amazon.com/es_es/xray/latest/devguide/images/xray-vpc-select-secgroup.png)
1. (Opcional) Especifique una política personalizada para controlar los permisos de acceso al servicio de X-Ray. De forma predeterminada, se permite totalmente el acceso.
## Control del acceso al punto de conexión de VPC de X-Ray
Una política de punto de conexión de VPC es una política de recursos de IAM que puede asociar a un punto de conexión cuando crea o modifica el punto de conexión. Si no adjunta una política al crear un punto de enlace, Amazon VPC adjunta una política predeterminada que le conceda acceso completo al servicio. Una política de punto de enlace no anula ni sustituye a las políticas de usuario de IAM ni las políticas específicas del servicio. Se trata de una política independiente para controlar el acceso desde el punto de conexión al servicio especificado. Las políticas de punto de conexión deben escribirse en formato JSON. Para obtener más información, consulte [Controlar el acceso a servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) en la *Guía del usuario de Amazon VPC*.
La política de puntos de conexión de VPC le permite controlar los permisos de varias acciones de X-Ray. Por ejemplo, puede crear una política para permitir solo PutTraceSegment y denegar el resto de las acciones. Eso restringe las cargas de trabajo y los servicios en la VPC para que solo se envíen datos de rastro a X-Ray y se deniegue cualquier otra acción, como recuperar datos, cambiar la configuración de cifrado o crear o actualizar grupos.
A continuación, se muestra un ejemplo de una política de puntos de conexión de X-Ray. Esta política permite a los usuarios que se conectan a X-Ray través de la VPC enviar datos de segmentos a X-Ray y les impide realizar otras acciones de X-Ray.
```
{"Statement": [
{"Sid": "Allow PutTraceSegments",
"Principal": "*",
"Action": [
"xray:PutTraceSegments"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Para editar la política de punto de conexión de VPC para X-Ray**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Puntos de conexión**.
1. Si aún no ha creado el punto de conexión para X-Ray, siga los pasos descritos en [Creación de un punto de conexión de VPC para X-Ray](#create-VPC-endpoint-for-xray).
1. Seleccione el punto de conexión **com.amazonaws.*region*.monitoring** y, a continuación, elija la pestaña **Política**.
1. Elija **Editar política** y, a continuación, realice los cambios.
## Regiones admitidas
Actualmente X-Ray admite puntos de conexión de la VPC en las siguientes regiones de Regiones de AWS:
+ Este de EE. UU. (Ohio)
+ Este de EE. UU. (Norte de Virginia)
+ Oeste de EE. UU. (Norte de California)
+ Oeste de EE. UU. (Oregón)
+ África (Ciudad del Cabo)
+ Asia-Pacífico (Hong Kong)
+ Asia-Pacífico (Bombay)
+ Asia-Pacífico (Osaka)
+ Asia-Pacífico (Seúl)
+ Asia-Pacífico (Singapur)
+ Asia-Pacífico (Sídney)
+ Asia-Pacífico (Tokio)
+ Canadá (centro)
+ Europa (Fráncfort)
+ Europa (Irlanda)
+ Europa (Londres)
+ Europa (Milán)
+ Europa (París)
+ Europa (Estocolmo)
+ Medio Oriente (Baréin)
+ América del Sur (São Paulo)
+ AWS GovCloud (Este de EE. UU.)
+ AWS GovCloud (Oeste de EE. UU.)
# Prevención de la sustitución confusa entre servicios
El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar un confuso problema de diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.
Se recomienda utilizar las claves de contexto de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn), [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount), [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgid) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths) en las políticas de recursos para limitar los permisos que concede xraylong a otro servicio para el recurso. Utilice `aws:SourceArn` para asociar solo un recurso al acceso entre servicios. Utilice `aws:SourceAccount` para permitir que cualquier recurso de esa cuenta se asocie al uso entre servicios. Utilice `aws:SourceOrgID` para permitir que cualquier recurso de cuentas dentro de una organización se asocie al uso entre servicios. Utilice `aws:SourceOrgPaths` para asociar cualquier recurso de cuentas dentro de una ruta de AWS Organizations al uso entre servicios. Para obtener más información sobre el uso y la comprensión de las rutas, consulte [Comprender la ruta de la AWS Organizations entidad](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path).
La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si está especificando varios recursos, utilice la clave de condición de contexto global `aws:SourceArn` con caracteres comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:servicename:*:123456789012:*`.
Si el valor de `aws:SourceArn` no contiene el ID de cuenta, como un ARN de bucket de Amazon S3, debe utilizar `aws:SourceAccount` y `aws:SourceArn` para limitar los permisos.
Para protegerse contra el problema del suplente confuso a gran escala, utilice la clave de contexto de condición global `aws:SourceOrgID` o `aws:SourceOrgPaths`con el identificador de organización o la ruta de organización del recurso en sus políticas basadas en recursos. Las políticas que incluyan la clave `aws:SourceOrgID` o `aws:SourceOrgPaths` incluirán automáticamente las cuentas correctas y no requerirán una actualización manual cuando se agregan, quitan o mueven cuentas en la organización.
El siguiente ejemplo muestra cómo se pueden utilizar las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` en xray para prevenir el error de la sustitución confusa.
```
{
"Sid": "BlockCrossAccountUnlessSameSource",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "123456789012",
"aws:SourceAccount": "123456789012"
},
"ArnNotLike": {
"aws:SourceArn": "arn:*:*:*:123456789012:*"
}
}
}
```