# Uso de Network Synthetic Monitor
<a name="what-is-network-monitor"></a>

Network Synthetic Monitor ofrece visibilidad del rendimiento de la red que conecta las aplicaciones alojadas en AWS con los destinos en las instalaciones. También permite identificar el origen de cualquier degradación del rendimiento de la red en cuestión de minutos. Network Synthetic Monitor está totalmente administrado por AWS y no necesita ningún agente independiente en los recursos supervisados. Utilice Network Synthetic Monitor para visualizar la pérdida de paquetes y la latencia de sus conexiones de red híbrida, y así establecer alertas y umbrales. Luego, en función de esta información, puede tomar medidas para mejorar la experiencia de sus usuarios finales. 

Network Synthetic Monitor está pensado para operadores de redes y desarrolladores de aplicaciones que desean obtener información en tiempo real sobre el rendimiento de la red.

## Características principales de Network Synthetic Monitor
<a name="nw-monitor-features"></a>
+ Utilice Network Synthetic Monitor para comparar el cambiante entorno de red híbrida con métricas continuas de latencia y pérdida de paquetes en tiempo real.
+ Cuando se conecta mediante AWS Direct Connect, Network Synthetic Monitor puede ayudar a diagnosticar rápidamente la degradación de red dentro de la red de AWS con el indicador de estado de la red (NHI), que Network Synthetic Monitor escribe en la cuenta de Amazon CloudWatch. La métrica NHI es un valor binario basado en una puntuación probabilística sobre si la degradación de la red ocurre dentro de AWS.
+ Network Synthetic Monitor ofrece un enfoque de agentes totalmente administrado para la supervisión, por lo que no es necesario instalar los agentes ni en las VPC ni en las instalaciones. Para comenzar, solo tiene que especificar una subred de VPC y una dirección IP en las instalaciones. Puede establecer una conexión privada entre la VPC y los recursos de Network Synthetic Monitor mediante AWS PrivateLink. Para obtener más información, consulte [Uso de CloudWatch, CloudWatch Synthetics y CloudWatch Network Monitoring con los puntos de conexión de VPC de tipo interfaz](cloudwatch-and-interface-VPC.md).
+ Network Synthetic Monitor publica las métricas en CloudWatch Metrics. Puede crear paneles para ver las métricas y también para crear umbrales y alarmas procesables en las métricas específicas de su aplicación. 

Para obtener más información, consulte [Funcionamiento de Network Synthetic Monitor](nw-monitor-how-it-works.md).

## Terminología y componentes de Network Synthetic Monitor
<a name="nw-monitor-terminology"></a>
+ **Sondas**: una sonda es el tráfico que se envía desde un recurso alojado en AWS a una dirección IP de destino en las instalaciones. Las métricas de Network Synthetic Monitor medidas por la sonda se escriben en la cuenta de CloudWatch para cada sonda que se configura en un monitor.
+ **Monitor**: el monitor muestra el rendimiento de la red y otros tipos de información sobre el estado del tráfico para el que ha creado *sondas* de Network Synthetic Monitor. Las sondas se agregan como parte de la creación de un monitor y luego permiten ver la información sobre las métricas de rendimiento de la red mediante el uso del monitor. Al crear un monitor para una aplicación, se agrega un recurso alojado en AWS como origen de red. A continuación, Network Synthetic Monitor crea una lista de todos los sondeos posibles entre los recursos alojados en AWS y las direcciones IP de destino. Se deben seleccionar los destinos para los que desea supervisar el tráfico.
+ **Origen de red de AWS**: un origen de red de AWS es el origen de AWS de una sonda de monitor, la cual es una subred en una de sus VPC.
+ **Destino**: un destino es el objetivo en su red local para el origen de red de AWS. Un destino es una combinación de sus direcciones IP en las instalaciones, los protocolos de red, los puertos y el tamaño de los paquetes de red. Tanto las direcciones IPv4 como las IPv6 son compatibles.

## Requisitos de Network Synthetic Monitor y limitaciones
<a name="nw-monitor-limitations"></a>

A continuación se resumen los requisitos y las limitaciones de Network Synthetic Monitor. Para conocer las cuotas (o límites) específicos, consulte [Network Synthetic Monitor](cloudwatch_limits.md#nw-monitor-quotas).
+ Las subredes del monitor deben pertenecer a la misma cuenta que el monitor.
+ Network Synthetic Monitor no proporciona una conmutación por error automática de red en caso de que se produzca un problema con la red AWS. 
+ Se aplica un cargo por cada sonda que cree. Para obtener más información sobre los precios, consulte [Precios de Network Synthetic Monitor](pricing-nw.md). 

# Funcionamiento de Network Synthetic Monitor
<a name="nw-monitor-how-it-works"></a>

Network Synthetic Monitor está totalmente administrado por AWS y no necesita ningún agente independiente en los recursos supervisados. En su lugar, debe identificar las *sondas*; para ello, debe proporcionar una subred de VPC y direcciones IP en las instalaciones.

Cuando se crea un monitor en Network Synthetic Monitor para los recursos alojados en AWS, AWS crea y administra toda la infraestructura en segundo plano necesaria para tomar mediciones del tiempo de ida y vuelta y de pérdida de paquetes. Debido a que AWS administra las configuraciones necesarias, puede escalar la supervisión rápidamente, sin la necesidad de instalar o desinstalar agentes dentro de su infraestructura de AWS.

Cuando se crean las sondas, se crean interfaces de red elásticas (ENI) personalizadas y se conectan a las instancias de sonda y a las subredes de los clientes. Si Network Synthetic Monitor reemplaza una instancia de sonda, por ejemplo, si esta no funciona correctamente, Network Synthetic Monitor desconecta las ENI y las vuelve a conectar a la sonda de reemplazo. Esto significa que las direcciones IP de las ENI no se modifican una vez creadas, a menos que elimine una sonda y cree una nueva para el mismo origen y destino.

Network Synthetic Monitor centra la supervisión en las rutas que siguen los flujos desde los recursos alojados en AWS, en lugar de supervisar de forma amplia todos los flujos procedentes de su Región de AWS. Si las cargas de trabajo se distribuyen a lo largo de varias zonas de disponibilidad, Network Synthetic Monitor puede supervisar las rutas desde cada una de las subredes privadas. 

Network Synthetic Monitor publica las métricas de tiempo de ida y vuelta y de pérdida de paquetes en su cuenta de Amazon CloudWatch, según el intervalo de agregación que establezca cuando crea un monitor. También puede establecer umbrales individuales de latencia y pérdida de paquetes para cada monitor con CloudWatch. Por ejemplo, puede crear una alarma para una carga de trabajo sensible a la pérdida de paquetes que le notifique si el promedio de pérdida de paquetes es superior al umbral estático del 0,1 %. También, puede utilizar la detección de anomalías de CloudWatch para alertar sobre las métricas de pérdida de paquetes o latencia que estén fuera de los rangos deseados. 

## Mediciones de disponibilidad y rendimiento
<a name="nw-monitor-perf"></a>

Network Synthetic Monitor envía periódicamente sondeos activos desde el recurso de AWS a los destinos en las instalaciones. Al crear un monitor, especifique lo siguiente:
+ **Intervalo de agregación:** el tiempo, en segundos, durante el que CloudWatch recibe los resultados medidos. Será cada 30 o 60 segundos. El periodo de agregación que elija para el monitor se aplica a todas las sondas de ese monitor.
+ **Orígenes de sonda (recursos de AWS):** el origen de una sonda es una VPC y las subredes asociadas, o solo una subred de VPC, en las regiones donde opera la red. 
+ **Destinos de sonda (recursos de los clientes):** el destino de una sonda es la combinación de las direcciones IP en las instalaciones, los protocolos de red, los puertos y el tamaño de los paquetes de red. 
+ **Protocolo de sonda:** uno de los protocolos compatibles: ICMP o TCP. Para obtener más información, consulte [Protocolos de comunicación compatibles](#nw-monitor-protocol).
+ **Puerto (de TCP):** el puerto que utiliza la red para conectarse.
+ **Tamaño del paquete (de TCP):** el tamaño, en bytes, de cada paquete transmitido entre el recurso alojado en AWS y el destino en una sola sonda. Puede especificar un tamaño de paquete diferente para cada sonda de un monitor.

Un monitor publica las siguientes métricas:
+ **Tiempo de ida y vuelta:** esta métrica, medida en microsegundos, es una medida de rendimiento. Registra el tiempo que tarda la sonda en transmitirse a la dirección IP de destino y en recibir la respuesta asociada. El tiempo de ida y vuelta es el tiempo promedio que se observa durante el intervalo de agregación.
+ **Pérdida de paquetes:** esta métrica mide el porcentaje del total de paquetes enviados y registra el número de sondeos transmitidos que no recibieron una respuesta asociada. La ausencia de respuesta implica que los paquetes se perdieron a lo largo de la ruta de la red.

## Protocolos de comunicación compatibles
<a name="nw-monitor-protocol"></a>

Network Synthetic Monitor es compatible con dos protocolos para las sondas: ICMP y TCP.

Las sondas ICMP transportan las solicitudes de eco de ICMP desde los recursos alojados en AWS a la dirección de destino y esperan una respuesta de eco de ICMP. Network Synthetic Monitor utiliza la información de los mensajes de solicitud y respuesta de eco del ICMP para calcular el tiempo de ida y vuelta y las métricas de pérdida de paquetes. 

Las sondas basadas en TCP transportan los paquetes TCP SYN desde los recursos alojados en AWS hasta la dirección y el puerto de destino, y esperan recibir un paquete TCP SYN\$1ACK como respuesta. Network Synthetic Monitor usa la información de los mensajes TCP SYN y TCP SYN\$1ACK para calcular el tiempo de ida y vuelta y las métricas de pérdida de paquetes. Network Synthetic Monitor cambia periódicamente los puertos TCP de origen para aumentar la cobertura de la red, lo que aumenta la probabilidad de detectar la pérdida de paquetes. 

## Indicador de estado de la red de AWS
<a name="nw-monitor-nhi-overview"></a>

Network Synthetic Monitor publica una métrica de indicador de estado de la red (NHI) que proporciona información sobre problemas en la red de AWS para rutas que incluyen destinos conectados a través de Direct Connect.

El valor binario de NHI se basa en una medida estadística del estado de la ruta de red controlada por AWS, desde el recurso alojado en AWS, donde se implementa el monitor, hasta la ubicación de Direct Connect. Network Synthetic Monitor utiliza la detección de anomalías para calcular las caídas de disponibilidad o la disminución del rendimiento a lo largo de las rutas de red. 

El NHI no es preciso para los archivos de Direct Connect adjuntos que utilizan el enrutamiento intermedio con Cloud WAN. Si tiene una red híbrida que incluye Cloud WAN u otros segmentos de enrutamiento intermedios, no utilice el valor del NHI como indicador de un problema de rendimiento.

**nota**  
Cada vez que crea un monitor nuevo, agrega una sonda o vuelve a activar una sonda, el NHI del monitor se retrasa unas horas mientras AWS recopila datos que permiten detectar anomalías. 

Para brindar el valor del NHI, Network Synthetic Monitor aplica la correlación estadística entre los conjuntos de datos de muestra de AWS, así como a las métricas de pérdida de paquetes y latencia de ida y vuelta del tráfico para simular la ruta de la red. El valor de NHI puede ser 1 o 0. Un valor de 1 indica que Network Synthetic Monitor observó una degradación de la red dentro de la ruta de red controlada por AWS. Un valor de 0 indica que Network Synthetic Monitor no observó ninguna degradación de la red en la red de AWS a lo largo de la ruta. Al utilizar el valor del NHI, puede descubrir las causas de los problemas de la red con mayor rapidez. Por ejemplo, puede configurar alertas en la métrica NHI para recibir notificaciones sobre problemas en curso en la red de AWS a lo largo de las rutas de red. 

## Compatibilidad con direcciones IPv4 e IPv6
<a name="nw-monitor-ipv4-ipv6"></a>

Network Synthetic Monitor proporciona métricas de disponibilidad y rendimiento en redes IPv4 o IPv6, y puede supervisar direcciones IPv4 o IPv6 desde VPC de doble pila. Network Synthetic Monitor no permite configurar los destinos IPv4 ni IPv6 en el mismo monitor; puede crear monitores independientes solo para los destinos IPv4 e IPv6.

# Regiones de AWS compatibles con Network Synthetic Monitor
<a name="nw-monitor-regions"></a>

En esta sección se describe la compatibilidad con Network Synthetic Monitor en Regiones de AWS. Para obtener más información sobre las regiones compatibles con Network Synthetic Monitor, incluidas las regiones opcionales, consulte [Network Synthetic Monitor endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/cwnm_region.html) en la *Referencia general de Amazon Web Services*.


| Nombre de la región | Región | 
| --- | --- | 
| África (Ciudad del Cabo) | af-south-1 | 
| Asia-Pacífico (Hong Kong) | ap-east-1 | 
| Asia-Pacífico (Hyderabad) | ap-south-2 | 
| Asia-Pacífico (Yakarta) | ap-southeast-3 | 
| Asia-Pacífico (Malasia) | ap-southeast-5 | 
| Asia-Pacífico (Melbourne) | ap-southeast-4 | 
| Asia-Pacífico (Mumbai) | ap-south-1 | 
| Asia-Pacífico (Osaka) | ap-northeast-3 | 
| Asia-Pacífico (Seúl) | ap-northeast-2 | 
| Asia-Pacífico (Singapur) | ap-southeast-1 | 
| Asia-Pacífico (Sídney) | ap-southeast-2 | 
| Asia-Pacífico (Tailandia) | ap-southeast-7 | 
| Asia-Pacífico (Tokio) | ap-northeast-1 | 
| Canadá (centro) | ca-central-1 | 
| Oeste de Canadá (Calgary) | ca-west-1 | 
| Europa (Fráncfort) | eu-central-1 | 
| Europa (Irlanda) | eu-west-1 | 
| Europa (Londres) | eu-west-2 | 
| Europa (Milán) | eu-south-1 | 
| Europa (París) | eu-west-3 | 
| Europa (España) | eu-south-2 | 
| Europa (Estocolmo) | eu-north-1 | 
| Europa (Zúrich) | eu-central-2 | 
| Israel (Tel Aviv) | il-central-1 | 
| México (centro) | mx-central-1 | 
| Medio Oriente (Baréin) | me-south-1 | 
| Medio Oriente (EAU) | me-central-1 | 
| América del Sur (São Paulo) | sa-east-1 | 
| Este de EE. UU. (Norte de Virginia) | us-east-1  | 
| Este de EE. UU. (Ohio) | us-east-2 | 
| Oeste de EE. UU. (Norte de California) | us-west-1 | 
| Oeste de EE. UU. (Oregón) | us-west-2 | 

# Precios de Network Synthetic Monitor
<a name="pricing-nw"></a>

Con Network Synthetic Monitor, no hay costos iniciales ni compromisos a largo plazo. Los precios de Network Synthetic Monitor incluyen los dos componentes siguientes: 
+ Una tarifa por hora por recurso supervisado de AWS
+ Tarifas de métricas de CloudWatch

Al crear un monitor en Network Synthetic Monitor, se le asocian los recursos de AWS (orígenes) que se van a supervisar. En el caso de Network Synthetic Monitor, estos recursos son subredes en Amazon Virtual Private Cloud (VPC). Para cada recurso, puede crear hasta cuatro sondas, cada una es para el tráfico desde una subred en la VPC hasta cuatro de sus direcciones IP de destino. Para ayudarlo a controlar la factura, puede ajustar la cobertura de la subred y la cobertura de la dirección IP de destino en las instalaciones con la reducción de la cantidad de recursos que supervisa.

Para obtener más información acerca de los precios, consulte la página [Precios de Amazon CloudWatch](https://aws.amazon.com//cloudwatch/pricing/).

# Operaciones de la API de Network Synthetic Monitor
<a name="CloudWatch-Synthetics-API-reference"></a>

La siguiente tabla muestra las operaciones de la API de Network Synthetic Monitor que puede utilizar en Amazon CloudWatch. Consulte esta tabla para obtener enlaces a la documentación relevante.


| Action | Referencia de la API | Más información | 
| --- | --- | --- | 
|  Cree un monitor entre una subred de origen y una dirección IP de destino.  |  Consulte [CreateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateMonitor.html)   |  Consulte [Creación de un monitor](getting-started-nw.md)  | 
|  Crear una sonda dentro de un monitor.  |  Consulte [CreateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_CreateProbe.html)   |  Consulte [Activación o desactivación de una sonda](nw-monitor-probe-status.md)  | 
|  Eliminar un monitor.  |  Consulte [DeleteMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteMonitor.html)   |  Consulte [Eliminación de un monitor](nw-monitor-delete.md)  | 
|  Eliminar una sonda específica.  |  Consulte [DeleteProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_DeleteProbe.html)   |  Consulte [Eliminación de una sonda](nw-monitor-probe-delete.md)  | 
|  Obtener información sobre un monitor.  |  Consulte [GetMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetMonitor.html)   |  Consulte [Trabajo con monitores y sondas en Network Synthetic Monitor](nw-monitor-working-with.md)  | 
|  Obtener información sobre una sonda específica.  |  Consulte [GetProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_GetProbe.html)   |  Consulte [Trabajo con monitores y sondas en Network Synthetic Monitor](nw-monitor-working-with.md)  | 
|  Obtener una lista de todos los monitores.  |  Consulte [ListMonitors](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListMonitors.html)   |  Consulte [Trabajo con monitores y sondas en Network Synthetic Monitor](nw-monitor-working-with.md)  | 
|  Enumerar las etiquetas asignadas a un recurso.  |  Consulte [ListTagsForResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_ListTagsForResource.html)   |  Consulte [Etiquete y desetiquete recursos](nw-monitor-tags-cli.md)  | 
|  Agregar pares clave-valor, o etiquetas, a un monitor o sonda.  |  Consulte [TagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_TagResource.html)   |  Consulte [Etiquete y desetiquete recursos](nw-monitor-tags-cli.md)  | 
|  Eliminar un par clave-valor, o etiqueta, de un monitor o sonda.  |  Consulte [UntagResource](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UntagResource.html)   |  Consulte [Etiquete y desetiquete recursos](nw-monitor-tags-cli.md)  | 
|  Actualizar un periodo de agregación de un monitor.  |  Consulte [UpdateMonitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateMonitor)   |  Consulte [Edición de un monitor](nw-monitor-edit.md)  | 
|  Actualizar una sonda en un monitor.  |  Consulte [UpdateProbe](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/API_UpdateProbe)   |  Consulte [Edición de una sonda](nw-monitor-probe-edit.md)  | 

# Trabajo con monitores y sondas en Network Synthetic Monitor
<a name="nw-monitor-working-with"></a>

Para empezar, cree un monitor con sondas en Network Synthetic Monitor para medir el rendimiento de la red durante un periodo de agregación específico. A continuación, puede actualizar un monitor para realizar los cambios que desee, por ejemplo, cambiar el periodo de agregación, desactivar o activar las sondas, o añadir o eliminar etiquetas.

En las siguientes secciones se muestran instrucciones detalladas para realizar estas tareas en los monitores y las sondas con la consola de Amazon CloudWatch. También puede realizar cambios en el monitor con AWS Command Line Interface.

**Topics**
+ [Creación de un monitor](getting-started-nw.md)
+ [Edición de un monitor](nw-monitor-edit.md)
+ [Eliminación de un monitor](nw-monitor-delete.md)
+ [Activación o desactivación de una sonda](nw-monitor-probe-status.md)
+ [Adición de una sonda a un monitor](nw-monitor-add-probe.md)
+ [Edición de una sonda](nw-monitor-probe-edit.md)
+ [Eliminación de una sonda](nw-monitor-probe-delete.md)
+ [Etiquete y desetiquete recursos](nw-monitor-tags-cli.md)

# Creación de un monitor
<a name="getting-started-nw"></a>

En las siguientes secciones, se explica cómo crear un monitor en Network Synthetic Monitor, incluso las sondas necesarias. Al crear un monitor, para especificar las sondas, debe seleccionar las subredes de origen y, a continuación, añadir hasta cuatro destinos para cada una de ellas. Cada par origen-destino es una sonda.

Puede realizar cambios en un monitor después de crearlo, por ejemplo, para añadir, eliminar o desactivar sondas. Para obtener más información, consulte [Trabajo con monitores y sondas en Network Synthetic Monitor](nw-monitor-working-with.md).

Puede trabajar con monitores y sondas utilizando la consola de Amazon CloudWatch o AWS Command Line Interface. Para trabajar con Network Synthetic Monitor mediante programación, consulte la [Referencia de la API de Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) y [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) en la Referencia de comandos de AWS Command Line Interface.

En los procedimientos siguientes, se muestran instrucciones paso a paso sobre cómo crear un monitor con la consola de Amazon CloudWatch. 
+ [Defina los detalles del monitor](#NWDefineDetails)
+ [Elija los orígenes y destinos](#NWSourceDestination)
+ [Confirme las sondas](#NWConfirmProbes)
+ [Revise y cree un monitor](#NWReviewCreate)

**importante**  
Estos pasos están diseñados para completarse todos de una vez. No puede guardar ningún trabajo en proceso para continuarlo más adelante.

## Defina los detalles del monitor
<a name="define-details-nw"></a>

El primer paso para crear un monitor es definir los detalles básicos al asignarle un nombre al monitor y definir el periodo de agregación. Opcionalmente, también puede agregar etiquetas.

**Cómo definir los detalles del monitor**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) y, a continuación, en **Monitoreo de red**, elija **Monitores sintéticos**.

1. Elija **Crear monitor**.

1. En **Nombre del monitor**, introduzca el nombre del monitor.

1. En **Periodo de agregación**, seleccione la frecuencia con la que desea enviar métricas a CloudWatch: **30 segundos** o **60 segundos**.
**nota**  
Un periodo de agregación más corto permite detectar los problemas de la red con mayor rapidez. Sin embargo, el periodo de agregación que elija puede afectar sus costes de facturación. Para obtener más información acerca de los precios, consulte la página [Precios de Amazon CloudWatch](https://aws.amazon.com//cloudwatch/pricing/).

1. (Opcional) En **Etiquetas**, agregue los pares de **Clave** y **Valor** para identificar este recurso y buscar o filtrar información específica.

   1. Elija **Añadir nueva etiqueta**. 

   1. Introduzca un nombre de **clave** y un **valor** asociado. 

   1. Elija **Añadir nueva etiqueta**, para añadir la nueva etiqueta.

      Puede agregar varias etiquetas al seleccionar **Agregar nueva etiqueta** o puede eliminar una etiqueta al seleccionar **Eliminar**.

   1. Si desea asociar las etiquetas a las sondas de monitor, deje seleccionada la opción **Agregar etiquetas a las sondas creadas por el monitor**. Esto agrega las etiquetas a las sondas de monitor, lo que puede resultar útil para la autenticación o la medición basadas en etiquetas.

1. Elija **Siguiente**. En la página siguiente, deberá especificar los orígenes y los destinos para crear las sondas del monitor.

## Elija los orígenes y destinos
<a name="source-destination-nw"></a>

Para cada monitor de Network Synthetic Monitor, especifique una o más sondas, que son una combinación de un origen y un destino de AWS.
+ El origen de una sonda es una VPC y las subredes asociadas (o solo una subred de VPC) en las regiones donde opera la red.
+ El destino es la combinación de las direcciones IP en las instalaciones, los protocolos de red, los puertos y el tamaño de los paquetes de red. 

**importante**  
Estos pasos están diseñados para completarse todos de una vez. No puede guardar ningún trabajo en proceso para continuarlo más adelante.

**Para elegir los orígenes y destinos:**

1. Requisito previo: [Defina los detalles del monitor](#define-details-nw).

1. En **origen de red de** **AWS**, elija una o más subredes para incluirlas en el monitor. Para seleccionar todas las subredes dentro de una VPC, seleccione la VPC. O bien, seleccione las subredes específicas dentro de una VPC. Las subredes que seleccione son los orígenes del monitor.

1. En **Destino 1**, ingrese una dirección IP de destino de la red en las instalaciones. Tanto las direcciones IPv4 como las IPv6 son compatibles. 

1. Seleccione **Ajustes avanzados**.

1. En **Protocolo**, elija el protocolo de red para el destino en las instalaciones. El protocolo puede ser tanto **ICMP** como **TCP**.

1. Si selecciona **TCP**, ingrese la siguiente información:

   1. Introduzca el **puerto** que utiliza la red para conectarse. El puerto debe ser un número comprendido entre **1** y **65535**.

   1. Introduzca el **tamaño del paquete**. Es el tamaño, en bytes, de cada paquete que se envía a la sonda entre el origen y el destino. El tamaño del paquete debe ser un número comprendido entre **56** y **8500**.

1. Elija **Añadir destino** para añadir otro destino en las instalaciones al monitor. Repita estos pasos para cada destino que desee añadir.

1. Cuando haya terminado de agregar orígenes y destinos, seleccione **Siguiente** para confirmar las sondas del monitor.

## Confirmación de sondas
<a name="confirm-probes-nw"></a>

En la página **Confirme las sondas**, revise todas las sondas que se crearán para el monitor a fin de asegurarse de que sean la combinación correcta de orígenes y destinos.

En la página **Confirme las sondas**, se muestran todas las combinaciones posibles de orígenes y destinos para las especificaciones de sondas que brindó en el paso anterior. Por ejemplo, si tiene seis subredes de origen y cuatro direcciones IP de destino, existe un total de 24 combinaciones de sondas posibles por lo que se crearán 24 sondas. 

**importante**  
Estos pasos se deben completar en una sesión. No puede guardar ningún trabajo en proceso para continuarlo más adelante.
 La página de **confirmación de sondeos** no indica si un sondeo es válido. Recomendamos que revise detenidamente esta página y, a continuación, elimine cualquier sonda que no sea válida. Puede que se le cobre por las sondas no válidas si no las elimina.

**Cómo confirmar las sondas de supervisión**

1. Requisito previo: [Elija los orígenes y destinos](#source-destination-nw).

1. En la página **Confirmar sondas**, revise la lista de combinaciones de sondas de origen y destino.

1. Seleccione cualquier sonda que desee eliminar del monitor y, a continuación, elija **Eliminar**.
**nota**  
No se le pide que confirme la eliminación de la sonda. Si elimina una sonda y desea reestablecerla, debe configurarla de nuevo. Puede agregar una sonda a un monitor existente con los pasos que se describen en [Adición de una sonda a un monitor](nw-monitor-add-probe.md).

1. Seleccione **Siguiente** y, a continuación, revise los detalles del monitor.

## Revise y cree un monitor
<a name="review-create-nw"></a>

El último paso es revisar los detalles y las sondas del monitor y, luego, crear el monitor. Puede cambiar cualquier información sobre el monitor en este momento. 

Una vez que termine la revisión y la modificación de cualquier información que no sea correcta, cree el monitor.

En cuanto haya creado el monitor, Network Synthetic Monitor iniciará un seguimiento de las métricas y comenzará a cobrarle por las sondas de monitor.

**importante**  
Este paso se debe completar en una sesión. No puede guardar ningún trabajo en proceso para continuarlo más adelante.
Si edita una sección, debe seguir los pasos del proceso de creación de un monitor desde el punto en que realice las ediciones. Las páginas previas de creación del monitor mantienen la información que ya ingresó.

**Cómo revisar y crear un monitor**

1. En la página **Revisar y crear sondeos**, elija **Editar** para cualquier sección en la que desee realizar cambios.

1. Realice los cambios en esa sección y, a continuación, seleccione **Siguiente**.

1. Una vez que termine de editar, seleccione **Crear monitor**.

   La página Network Synthetic Monitor muestra el estado actual de la creación del monitor en la sección **Monitores**. Cuando Network Synthetic Monitor sigue creando el monitor, el **Estado** es **Pendiente**. Cuando el **Estado** cambie a **Activo**, podrá ver las métricas de CloudWatch desde el panel de control del monitor.

   Para más información sobre cómo trabajar con el panel de control del monitor, consulte [Paneles de Network Synthetic Monitor](nw-monitor-dashboards.md).

**nota**  
Un monitor recién agregado podría demorar varios minutos en comenzar a recopilar métricas de red.

# Edición de un monitor
<a name="nw-monitor-edit"></a>

Puede editar información de Network Synthetic Monitor, como el cambio de nombre, la configuración de un nuevo periodo de agregación o la adición o eliminación de etiquetas. Al cambiar la información de un monitor no se modifican ninguna de las sondas asociadas.

Puede trabajar con monitores y sondas utilizando la consola de Amazon CloudWatch o AWS Command Line Interface. Para trabajar con Network Synthetic Monitor mediante programación, consulte la [Referencia de la API de Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) y [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) en la Referencia de comandos de AWS Command Line Interface.

**Cómo editar un monitor con la consola**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) y, a continuación, en **Monitoreo de red**, elija **Monitores sintéticos**.

1. En la sección **Monitores**, elija el monitor que desee editar.

1. En la página del panel de control del monitor, seleccione **Editar**.

1. Para **Nombre del monitor**, introduzca el nuevo nombre del monitor.

1. Para el **Período de agregación**, elija la frecuencia con la que desea enviar métricas a CloudWatch. Los periodos válidos son los siguientes:
   + **30 segundos**
   + **60 segundos**
**nota**  
Un periodo de agregación más corto permite detectar los problemas de la red con mayor rapidez. Sin embargo, el periodo de agregación que elija puede afectar sus costes de facturación. Para obtener más información acerca de los precios, consulte la página [Precios de Amazon CloudWatch](https://aws.amazon.com//cloudwatch/pricing/).

1. (Opcional) En la sección **Etiquetas**, añada pares de **clave** y **valor** para ayudar a identificar este recurso, lo que le permitirá buscar o filtrar información específica. También puede simplemente cambiar el **valor** de cualquier **clave** actual.

   1. Elija **Añadir nueva etiqueta**. 

   1. Introduzca un nombre de **clave** y un **valor** asociado. 

   1. Elija **Añadir nueva etiqueta**, para añadir la nueva etiqueta.

      Puede agregar varias etiquetas al seleccionar **Agregar nueva etiqueta** o puede eliminar una etiqueta al seleccionar **Eliminar**.

   1. Si desea asociar las etiquetas al monitor, mantenga marcada la opción **Añadir etiquetas a las sondas creadas por el monitor**. Esto añade las etiquetas a las sondas del monitor, lo que puede resultar útil si utiliza la autenticación o la medición basadas en etiquetas.

1. Seleccione **Save changes (Guardar cambios)**.

# Eliminación de un monitor
<a name="nw-monitor-delete"></a>

Antes de eliminar un monitor en Network Synthetic Monitor, debe desactivar o eliminar todas las sondas asociadas al monitor, sin importar el **Estado** del monitor. Una vez que el monitor se elimine, ya no se le cobrará por las sondas en el monitor. Tenga en cuenta que no puede restablecer un monitor eliminado.

Puede trabajar con monitores y sondas utilizando la consola de Amazon CloudWatch o AWS Command Line Interface. Para trabajar con Network Synthetic Monitor mediante programación, consulte la [Referencia de la API de Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) y [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) en la Referencia de comandos de AWS Command Line Interface.

**Cómo eliminar un monitor con la consola**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) y, a continuación, en **Monitoreo de red**, elija **Monitores sintéticos**.

1. En la sección **Monitores**, elija el monitor que desea eliminar.

1. Elija **Acciones** y, a continuación, elija **Eliminar**.

1. Si tiene sondas activas en el monitor, se le pedirá que las desactive. Seleccione **Desactivar sondas**. 
**nota**  
No puede cancelar ni deshacer esta acción tras seleccionar **Desactivar sondas**. Sin embargo, las sondas desactivadas no se retiran del monitor. Si así lo desea, puede reactivarlas más adelante. Para obtener más información, consulte [Activación o desactivación de una sonda](nw-monitor-probe-status.md).

1. Ingrese **confirm** en el campo de confirmación y, a continuación, elija **Eliminar**.

Como alternativa, puede eliminar un monitor mediante programación, por ejemplo, utilizando AWS Command Line Interface. 

**Para eliminar un monitor con la CLI**

1. Para eliminar un monitor, necesita el nombre del monitor. Si no sabe el nombre, ejecute el comando [list-monitors](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-monitors.html) para obtener una lista de los monitores. Busque el nombre del monitor que desea eliminar.

1. Verifique si ese monitor contiene alguna sonda activa. Utilice [get-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/get-monitor.html) con el nombre del monitor del paso anterior. Esto devuelve una lista de todas las sondas asociadas a ese monitor.

1. Si el monitor contiene sondas activas, primero debe desactivarlas o eliminarlas. 
   + Para configurar una sonda como inactiva, utilice [update-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/update-probe.html) y establezca el estado en `INACTIVE`.
   + Para eliminar una sonda, utilice [delete-probe](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/delete-probe.html).

1. Una vez que las sondas se eliminen o su estado sea `INACTIVE`, puede ejecutar el comando [delete-monitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/create-probe.html) para eliminar el monitor. Cuando elimina el monitor, no se eliminan las sondas inactivas.

# Activación o desactivación de una sonda
<a name="nw-monitor-probe-status"></a>

Puede activar o desactivar una sonda de un monitor en Network Synthetic Monitor. Es posible que desee desactivar una sonda, por ejemplo, si no la está utilizando, pero es posible que desee volver a utilizarla en el futuro. Si desactiva una sonda en vez de eliminarla, no perderá tiempo en volver a configurarla. No se cobrarán las sondas desactivadas. 

Puede trabajar con monitores y sondas utilizando la consola de Amazon CloudWatch o AWS Command Line Interface. Para trabajar con Network Synthetic Monitor mediante programación, consulte la [Referencia de la API de Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) y [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) en la Referencia de comandos de AWS Command Line Interface.

**Activación o desactivación de una sonda con la consola**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) y, a continuación, en **Monitoreo de red**, elija **Monitores sintéticos**.

1. Seleccione la pestaña **Detalles del monitor**. 

1. En la sección **Sondas**, elija la sonda que desee activar o desactivar. 

1. Seleccione **Acciones** y, a continuación, **Activar** o **Desactivar**.
**nota**  
Al reactivar una sonda, vuelve a incurrir en gastos de facturación en la sonda.

# Adición de una sonda a un monitor
<a name="nw-monitor-add-probe"></a>

Puede agregar una sonda a un monitor existente en Network Synthetic Monitor. Tenga en cuenta que cuando agrega sondas a un monitor, la facturación se actualiza para incluir la nueva sonda. 

Puede trabajar con monitores y sondas utilizando la consola de Amazon CloudWatch o AWS Command Line Interface. Para trabajar con Network Synthetic Monitor mediante programación, consulte la [Referencia de la API de Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) y [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) en la Referencia de comandos de AWS Command Line Interface.

**Cómo añadir una sonda a un monitor mediante la consola**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) y, a continuación, en **Monitoreo de red**, elija **Monitores sintéticos**.

1. En la pestaña **Monitores**, lleve a cabo una de las siguientes acciones:
   + Elija el enlace del **Nombre** del monitor al que desee añadir una sonda. Seleccione la pestaña **Detalles del monitor** y, a continuación, en la sección **Sondas**, elija **Añadir sonda**.
   + Seleccione la casilla de verificación del monitor, elija **Acciones** y, a continuación, elija **Añadir sonda**.

1. En la página **Añadir sonda**, haga lo siguiente:

   1.  En **Origen de red de** **AWS**, elija una subred para añadirla al monitor. 
**nota**  
Solo puede añadir una sonda a la vez y hasta cuatro sondas por monitor.

   1.  Introduzca la **dirección IP** de destino de la red en las instalaciones. Se admiten tanto IPv4 como IPv6. 

   1.  Seleccione **Ajustes avanzados**.

   1.  Elija el **protocolo** de red para el destino. Puede ser **ICMP** o **TCP**.

   1.  Si el **protocolo** es **TCP**, introduzca la siguiente información. De no ser así, vaya al siguiente paso: 
      + Introduzca el **puerto** que utiliza la red para conectarse. El puerto debe ser un número comprendido entre **1** y **65535**.
      + Introduzca el **tamaño del paquete**. Es el tamaño, en bytes, de cada paquete enviado a lo largo de la sonda entre el origen y el destino. El tamaño del paquete debe ser un número comprendido entre **56** y **8500**.

1. (Opcional) En la sección **Etiquetas**, añada pares de **clave** y **valor** para ayudar a identificar este recurso, lo que le permitirá buscar o filtrar información específica.

   1. Elija **Añadir nueva etiqueta**. 

   1. Introduzca un nombre de **clave** y un **valor** asociado. 

   1. Elija **Añadir nueva etiqueta**, para añadir la nueva etiqueta.

      Puede añadir varias etiquetas seleccionando **Añadir nueva etiqueta**, o puede eliminar cualquier etiqueta pulsando **Eliminar**.

1. Seleccione **Añadir sonda**.

   Mientras se activa la sonda, el **Estado** muestra **Pendiente**. Podría llevar varios minutos para que la sonda se vuelva **activa**. 

# Edición de una sonda
<a name="nw-monitor-probe-edit"></a>

Puede cambiar cualquier información de una sonda existente, sin importar si esa sonda está activa o inactiva.

Puede trabajar con monitores y sondas utilizando la consola de Amazon CloudWatch o AWS Command Line Interface. Para trabajar con Network Synthetic Monitor mediante programación, consulte la [Referencia de la API de Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) y [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) en la Referencia de comandos de AWS Command Line Interface.

**Para editar una sonda con la consola**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) y, a continuación, en **Monitoreo de red**, elija **Monitores sintéticos**.

   En **Nombre**, seleccione un enlace del monitor para abrir el panel del monitor. 

1. Seleccione la pestaña de **Detalles del monitor**. 

1. En la sección **Sondas**, seleccione el enlace de la sonda que desea editar.

1. En la página de detalles de la sonda, seleccione **Editar**.

1. En la página **Editar *sonda***, introduzca la nueva **dirección IP** de destino para la sonda. Tanto las direcciones IPv4 como las IPv6 son compatibles. 

1. Seleccione **Ajustes avanzados**.

1. Seleccione un **Protocolo** de red, **ICMP** o **TCP**.

1.  Si el **Protocolo** es **TCP**, introduzca la siguiente información: 
   + Introduzca el **puerto** que utiliza la red para conectarse. El puerto debe ser un número comprendido entre **1** y **65535**.
   + Introduzca el **tamaño del paquete**. Es el tamaño, en bytes, de cada paquete enviado a lo largo de la sonda entre el origen y el destino. El tamaño del paquete debe ser un número comprendido entre **56** y **8500**.

1. (Opcional) Agregue, cambie o elimine etiquetas para la sonda. 

1. Seleccione **Save changes (Guardar cambios)**.

# Eliminación de una sonda
<a name="nw-monitor-probe-delete"></a>

Puede eliminar una sonda en lugar de desactivarla si sabe que no la volverá a necesitar más adelante. No puede recuperar una sonda eliminada; en su lugar, tiene que crearla de nuevo. La facturación de esa sonda se detiene cuando se elimina la sonda.

Puede trabajar con monitores y sondas utilizando la consola de Amazon CloudWatch o AWS Command Line Interface. Para trabajar con Network Synthetic Monitor mediante programación, consulte la [Referencia de la API de Network Synthetic Monitor](https://docs.aws.amazon.com/networkmonitor/latest/APIReference/Welcome.html) y [networkmonitor](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/) en la Referencia de comandos de AWS Command Line Interface.

**Cómo eliminar una sonda con la consola**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) y, a continuación, en **Monitoreo de red**, elija **Monitores sintéticos**.

1. En la sección **Monitores**, en **Nombre**, elija un enlace de monitor para abrir el panel del monitor.

1. Seleccione la pestaña de **Detalles del monitor**.

1. Seleccione la casilla de verificación del monitor, luego **Acciones** y, a continuación, **Eliminar**.

1. En el cuadro de diálogo **Eliminar sonda**, realice lo siguiente:

1. Elija **Eliminar** para confirmar que quiere eliminar la sonda. 

   El **Estado** de la sonda en la sección **Sondas** muestra **Borrando**. Una vez eliminada, la sonda se elimina de la sección **Sondas**. 

# Etiquete y desetiquete recursos
<a name="nw-monitor-tags-cli"></a>

Puede trabajar con etiquetas de recursos en Network Synthetic Monitor para agregar o eliminar etiquetas.

Para actualizar etiquetas, actualice los monitores o las sondas de la consola. Además, puede trabajar con las etiquetas mediante programación, por ejemplo, con AWS Command Line Interface.

**Actualización de las etiquetas del monitor con la CLI**
+ Para enumerar las etiquetas de un recurso, utilice [list-tags-for-resources](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/list-tags-for-resources.html).
+ Para etiquetar un recurso, utilice [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/tag-resource.html).
+ Para quitar la etiqueta de un recurso, utilice [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/networkmonitor/untag-resource.html). 

# Paneles de Network Synthetic Monitor
<a name="nw-monitor-dashboards"></a>

Puede utilizar los paneles de Network Synthetic Monitor para determinar si el problema de red fue causado por AWS, mediante el indicador del estado de la red (NHI), y verificar el tiempo de ida y vuelta y la pérdida de paquetes. Puede ver esta información y las métricas para los monitores y para las sondas individuales.

Network Synthetic Monitor crea varias métricas que puede ver en las Métricas de CloudWatch. Puede especificar alarmas para las métricas que devuelve Network Synthetic Monitor. Para obtener más información, consulte [Alarmas de sonda](cw-nwm-create-alarm.md).

**Topics**
+ [Paneles de control de monitores](nw-monitor-db.md)
+ [Paneles de control de sondas](nw-probe-db.md)
+ [Cómo especificar el marco temporal de métricas](nw-monitor-time-frame.md)

# Paneles de control de monitores
<a name="nw-monitor-db"></a>

Puede utilizar el panel del monitor en Network Synthetic Monitor para ver el indicador del estado de la red (NHI) y el tiempo de ida y vuelta y la pérdida de paquetes por monitor. Es decir, el panel de control de un monitor muestra esta información para todas las sondas que se crearon para el monitor.

Network Synthetic Monitor también tiene paneles para las sondas, que se utilizan para ver la información por sonda. Para obtener más información, consulte [Paneles de control de sondas](nw-probe-db.md).

**Cómo acceder al panel de control de un monitor**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) y, a continuación, en **Monitoreo de red**, elija **Monitores sintéticos**.

1. En la sección **Monitores**, seleccione el enlace **Nombre** para abrir el panel del monitor.

## Página de información general
<a name="nw-monitor-overview"></a>

En la página **Información general**, se muestra la siguiente información para el monitor:
+ **Estado de la red**: muestra el valor del indicador de estado de la red (NHI), que se refiere únicamente al estado de la red de AWS. El estado de NHI aparece como **En buen estado** o **Degradado**. Un estado **Correcto** indica que Network Synthetic Monitor no detectó ningún problema en la red de AWS. Un estado **Degradado** indica que Network Synthetic Monitor detectó un problema en la red de AWS. La barra de estado de esta sección muestra el indicador de estado de la red durante un tiempo predeterminado de una hora. Coloque el cursor sobre cualquier punto de la barra de estado para ver detalles adicionales.
+ **Resumen del tráfico de las sondas**: muestra el estado actual del tráfico entre las subredes de AWS de origen especificadas para las sondas del monitor y las direcciones IP de destino de las sondas. En este resumen se muestra lo siguiente:
  + **Sondas en modo alarma**: este número indica cuántas sondas del monitor se encuentran en un estado degradado. Se activa una alarma cuando se activa una métrica que ha configurado como alarma. Para obtener información sobre cómo crear alarmas para las métricas de Network Synthetic Monitor, consulte [Alarmas de sonda](cw-nwm-create-alarm.md).
  + **Pérdida de paquetes**: la cantidad de paquetes que se perdieron de la subred de origen a la dirección IP de destino. Esto se representa como un porcentaje del total de paquetes enviados.
  + **Tiempo de ida y vuelta**: el tiempo, expresado en milisegundos, que tarda un paquete de la subred de origen en llegar a la dirección IP de destino y volver a aparecer. El tiempo de ida y vuelta (RTT) es el RTT promedio observado durante el periodo de agregación.

Los datos se representan en un gráfico interactivo, por lo que puede analizarlo para obtener más información. 

De forma predeterminada, los datos se muestran durante un periodo de dos horas, calculado a partir de la fecha y hora actuales. Sin embargo, puede cambiar el rango para adaptarlo a sus necesidades. Para obtener más información, consulte [Cómo especificar el marco temporal de métricas](nw-monitor-time-frame.md).

### Métricas de seguimiento
<a name="nw-monitor-graphs"></a>

En el panel **Información general** de Network Synthetic Monitor, se muestra una representación gráfica de los monitores y las sondas. Se muestran los gráficos siguientes:
+ **Indicador de estado de la red (NHI)**: representa los valores de NHI durante un periodo específico. El NHI indica si un problema de red se debe a problemas en la red de AWS. El NHI aparece como **En buen estado** (sin problemas en la red de AWS) o **Degradado** (hay un problema en la red de AWS).

  En el siguiente ejemplo, puede ver que desde las 15:00 UTC hasta las 15:05 UTC, hubo un problema de red producto de un problema de la red de AWS (**Degradado**). Pasadas las 15:05, el problema de la red de AWS se resolvió, por lo que el estado volvió a ser **Saludable**. Puede colocar el cursor sobre cualquier sección del gráfico para ver detalles adicionales.  
![\[Indicador de estado de la red de AWS que muestra un estado saludable y degradado.\]](http://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/images/nwm_network_health.png)
**nota**  
El NHI indica que el problema se debe a la red de AWS. No describe el estado general de la red de AWS ni el estado de las sondas de Network Synthetic Monitor.
+ **Pérdida de paquetes**: este gráfico exhibe una línea que muestra el porcentaje de pérdida de paquetes de cada sonda de un monitor. La leyenda de la parte inferior de la página muestra cada una de las sondas del monitor, codificadas por colores para que sean únicas. Puede colocar el cursor sobre una sonda en el gráfico para ver la subred de origen, la dirección IP de destino y el porcentaje de pérdida de paquetes.

  En el siguiente ejemplo, se creó una alarma de pérdida de paquetes para una sonda desde una subred a la dirección IP 127.0.0.1. La alarma se activaba cuando se superaba el umbral de pérdida de paquetes de la sonda. Si coloca el cursor sobre el gráfico, podrá ver el origen y destino de la sonda, y observar que esta sonda perdió un 30,97 % de paquetes el 21 de noviembre a las 02:41:30.  
![\[La pérdida de paquetes muestra un ejemplo de sonda con una pérdida de paquetes del 30,97 %.\]](http://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/images/nwm_packet_loss.png)
+ **Tiempo de ida y vuelta**: este gráfico exhibe una línea, que muestra el tiempo de ida y vuelta de cada sonda. La leyenda de la parte inferior de la página muestra cada una de las sondas del monitor, codificadas por colores para que sean únicas. Puede colocar el cursor sobre una sonda en el gráfico para ver la subred de origen, la dirección IP de destino y el tiempo de ida y vuelta.

  En el siguiente ejemplo, se observa que el martes 21 de noviembre a las 21:45:30, el tiempo de ida y vuelta de una sonda desde una subred a la dirección IP 127.0.0.1 fue de 0,075 segundos.  
![\[Ejemplo que muestra el tiempo de ida y vuelta de una sonda.\]](http://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/images/nwm_rtt.png)

## Detalles del monitor
<a name="nw-monitor-health-details"></a>

En la página **Detalles del monitor**, se muestran los detalles del monitor, incluida una lista de las sondas del monitor. Puede actualizar o añadir etiquetas, o añadir una sonda. En la página se incluyen las siguientes secciones:
+ **Detalles del monitor**: en esta página se proporcionan detalles sobre el monitor. No se puede editar la información de esta sección. Sin embargo, puede ver detalles del rol vinculado al servicio de Network Synthetic Monitor; para ello, elija el enlace del **nombre del rol**.
+ **Sondas**: en esta sección se muestra una lista de todas las sondas asociadas al monitor. Elija un enlace de **VPC** o **ID de subred** para abrir los detalles de la VPC o la subred en la consola de Amazon VPC. Puede modificar una sonda para activarla o desactivarla. Para obtener más información, consulte [Trabajo con monitores y sondas en Network Synthetic Monitor](nw-monitor-working-with.md).

  En la sección **Sondas** se muestra información sobre cada sonda configurada para ese monitor, incluido el **ID** de sonda, el **ID de VPC**, el **ID de la subred**, la **dirección IP**, el **Protocolo** y si el estado de la sonda es **Activo** o **Inactivo**.

  Si creó una alarma para una sonda, se muestra el **Estado** actual de esa alarma. El estado **CORRECTO** indica que no hay ninguna métrica, ningún evento que haya activado alguna alarma. El estado **En modo alarma** indica que una métrica que creó en CloudWatch activó una alarma. Si no se muestra el estado de una sonda, significa que no se configuró ninguna alarma de CloudWatch. Para obtener información sobre los tipos de alarmas de sonda de Network Synthetic Monitor que puede crear, consulte [Alarmas de sonda](cw-nwm-create-alarm.md). 
+ **Etiquetas**: permite ver las etiquetas actuales de un monitor. Puede añadir o eliminar etiquetas seleccionando **Administrar etiquetas**. Esto abre la página **Editar sonda**. Para obtener más información sobre la edición de las etiquetas, consulte [Edición de un monitor](nw-monitor-edit.md).

# Paneles de control de sondas
<a name="nw-probe-db"></a>

Puede utilizar el panel **Sonda** en Network Synthetic Monitor para ver el indicador de estado de la red (NHI) de una sonda e información sobre el tiempo de ida y vuelta y la pérdida de paquetes para sondas específicas. Hay dos paneles de control para las sondas: las páginas **Información general** y** Detalles de la sonda**.

Puede crear alarmas de CloudWatch para establecer los umbrales de métricas de pérdida de paquetes y tiempo de ida y vuelta. Cuando se alcanza un umbral para una métrica, se lo notifica una alarma de CloudWatch. Para obtener más información sobre la creación de alarmas de sondas, consulte [Alarmas de sonda](cw-nwm-create-alarm.md). 

**Acceso al panel de control de una sonda**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) y, a continuación, en **Monitoreo de red**, elija **Monitores sintéticos**.

1. En la sección **Monitores**, elija el enlace **Nombre** para abrir el panel de un monitor en particular.

1. Para ver el panel de control de una sonda en particular, elija el enlace de **ID** de la sonda.

## Página de información general
<a name="nw-probe-db-overview"></a>

En la página **Información general**, se muestra la siguiente información de una sonda:
+ **Estado de la red**: muestra el valor del indicador de estado de la red (NHI), que se refiere únicamente al estado de la red de AWS. El estado de NHI se proporciona como **En buen estado** o **Degradado**. Un estado **Correcto** indica que Network Synthetic Monitor no detectó ningún problema en la red de AWS al respecto de una sonda. Un estado **Degradado** indica que Network Synthetic Monitor detectó un problema en la red de AWS. La barra de estado de esta sección muestra el indicador de estado de la red durante un tiempo predeterminado de una hora. Coloque el cursor sobre cualquier punto de la barra de estado para ver detalles adicionales.
+ **Pérdida de paquetes**: la cantidad de paquetes que se perdieron de la subred de origen a la dirección IP de destino de esta sonda.
+ **Tiempo de ida y vuelta**: el tiempo, expresado en milisegundos, que tarda un paquete de la subred de origen en llegar a la dirección IP de destino y volver a aparecer. El tiempo de ida y vuelta (RTT) es el RTT promedio observado durante el periodo de agregación.

## Detalles de la sonda
<a name="nw-probe-db-details"></a>

En la página **Detalles de la sonda**, se muestra información sobre una sonda, incluidos el origen y el destino. También puede editar la sonda, por ejemplo, para activarla o desactivarla. Para obtener más información, consulte [Trabajo con monitores y sondas en Network Synthetic Monitor](nw-monitor-working-with.md).
+ **Detalles de la sonda**: en esta sección se proporciona información general, que no se puede editar, sobre la sonda. 
+ **Origen y destino de la sonda**: en esta sección se muestran detalles sobre la sonda. Elija un enlace de **VPC** o **ID de subred** para abrir los detalles de la VPC o la subred en la consola de Amazon VPC. Puede modificar una sonda, por ejemplo, para activarla o desactivarla. 
+ **Etiquetas**: permite ver las etiquetas actuales de un monitor. Puede añadir o eliminar etiquetas seleccionando **Administrar etiquetas**. Esto abre la página **Editar sonda**. Para obtener más información sobre la edición de las etiquetas, consulte [Edición de una sonda](nw-monitor-probe-edit.md).

# Cómo especificar el marco temporal de métricas
<a name="nw-monitor-time-frame"></a>

Las métricas y los eventos en los paneles de Network Synthetic Monitor utilizan un tiempo predeterminado de dos horas, calculado a partir de la hora actual, pero usted puede establecer un marco temporal de métricas personalizadas. Puede cambiar el valor predeterminado a uno de los siguientes valores preestablecidos para marcos temporales de métricas:
+ **1h:** una hora
+ **2h:** dos horas
+ **1d:** un día
+ **1w:** una semana

También puede configurar un marco de tiempo personalizado. Elija **Personalizar**, elija un tiempo **absoluto** o **relativo** y, a continuación, establezca el periodo de tiempo en el tiempo que elija. El tiempo relativo solo admite 15 días a partir de la fecha de hoy, según las pautas de CloudWatch.

Además, puede elegir la hora que se muestra en los gráficos en función de la zona horaria UTC o el huso horario local. 

Para obtener más información, consulte [Cambio del intervalo de tiempo o el formato de zona horaria en un panel de CloudWatch](change_dashboard_time_format.md).

# Alarmas de sonda
<a name="cw-nwm-create-alarm"></a>

Puede crear alarmas de Amazon CloudWatch en función de las métricas de Network Synthetic Monitor, del mismo modo que puede hacerlo con otras métricas de Amazon CloudWatch. Cualquier alarma que cree aparecerá en la columna **Estado** de la sonda en la sección **Detalles del monitor** del panel de Network Synthetic Monitor cuando se active la alarma. El estado será **OK** o **En alarma**. Si no se muestra el estado de una sonda, significa que no se ha creado ninguna alarma para esa sonda.

Por ejemplo, puede crear una alarma basada en la métrica `PacketLoss` de Network Synthetic Monitor, y configurarla para que envíe una notificación cuando la métrica sea inferior a un valor que se elija. Las alarmas para las métricas de Network Synthetic Monitor se configuran siguiendo las mismas pautas que para otras métricas de CloudWatch. 

Las siguientes métricas están disponibles en la sección `AWS/NetworkMonitor` al crear una alarma de CloudWatch para Network Synthetic Monitor.
+ **HealthIndicator**
+ **PacketLoss**
+ **RTT (tiempo de ida y vuelta)**

Para conocer los pasos a fin de crear una alarma de Network Synthetic Monitor en CloudWatch, consulte [Cree una alarma de CloudWatch basada en un umbral estático](ConsoleAlarms.md).

# Seguridad y protección de datos en Network Synthetic Monitor
<a name="security-nw"></a>

La seguridad en la nube en AWS es la máxima prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y de centros de datos diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta servicios de AWS en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/) . Para obtener información sobre los programas de cumplimiento que se aplican a Network Synthetic Monitor, consulte [Servicios de AWS en el ámbito por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el servicio de AWS que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables. 

Con esta documentación podrá comprender cómo se aplica el modelo de responsabilidad compartida cuando se utiliza Network Synthetic Monitor. En los siguientes temas, se le mostrará cómo configurar Network Synthetic Monitor para satisfacer los objetivos de seguridad y cumplimiento. También obtendrá información sobre cómo utilizar otros servicios de AWS que le permitan supervisar y proteger sus recursos de Network Synthetic Monitor. 

**Topics**
+ [Protección de datos en Network Synthetic Monitor](data-protection-nw.md)
+ [Seguridad de la infraestructura en Network Synthetic Monitor](infrastructure-security-nw.md)

# Protección de datos en Network Synthetic Monitor
<a name="data-protection-nw"></a>

El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) de AWS se aplica a la protección de datos en Network Synthetic Monitor. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.

Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Utiliza SSL/TLS para comunicarse con los recursos de AWS. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de la línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con Network Synthetic Monitor u otros Servicios de AWS a través de la consola, la API, la AWS CLI o los SDK de AWS. Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

# Seguridad de la infraestructura en Network Synthetic Monitor
<a name="infrastructure-security-nw"></a>

Al tratarse de un servicio administrado, Network Synthetic Monitor está protegido por los procedimientos de seguridad de red globales de AWS, que se describen en el documento técnico [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).

Puede utilizar llamadas a la API de AWS publicadas para obtener acceso a Network Synthetic Monitor a través de la red. Los clientes deben ser compatibles con la seguridad de la capa de transporte (TLS) 1.0 o una versión posterior. Recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

# Identity and Access Management para Network Synthetic Monitor
<a name="networkmonitoring-iam"></a>

AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda a los administradores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién está autenticado (inició sesión) y autorizado (tiene permisos) para utilizar recursos de Network Synthetic Monitor. IAM es un servicio de AWS que puede utilizar sin cargo adicional. Puede utilizar las características de IAM para permitir que otros usuarios, servicios y aplicaciones usen sus recursos de AWS total o parcialmente, sin necesidad de compartir sus credenciales de seguridad.

De forma predeterminada, los usuarios de IAM no tienen permiso para crear, consultar ni modificar recursos de AWS. Para permitir que un usuario de IAM acceda a los recursos, por ejemplo, una red global, y lleve a cabo tareas, debe:
+ Creación de una política de IAM que conceda permiso al usuario para utilizar los recursos específicos y las acciones de la API que necesita
+ Asociación de la política al usuario de IAM o al grupo al que pertenece el usuario

Cuando se asocia una política a un usuario o un grupo de usuarios, esta les concede o deniega permisos para realizar las tareas especificadas en los recursos indicados.

## Claves de condición
<a name="nw-monitor-condition-keys"></a>

El elemento `Condition` (o bloque Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que coincida la condición de la política con valores de la solicitud. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condition Operators](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) en la *Guía del usuario de Identity and Access Management de AWS*.

Si especifica varios elementos de `Condition` en una instrucción o varias claves en un único elemento de `Condition`, AWS las evalúa mediante una operación `AND` lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición con una operación lógica `OR`. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.

También puedes utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedes conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. 

Puede adjuntar etiquetas a los recursos de Network Synthetic Monitor o transferirlas en una solicitud a Cloud WAN. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Consulte [Elementos de la política JSON de IAM: condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de Identity and Access Management AWS* para obtener más información. 

Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de Identity and Access Management AWS*.

## Etiquetas en los recursos principales de la red
<a name="nw-security-tag-resources"></a>

Una etiqueta es una etiqueta de metadatos que usted o AWS asignan a un recurso de AWS. Cada etiqueta consta de una clave y un valor. En el caso de etiquetas que usted asigna, debe definir la clave y el valor. Por ejemplo, puede definir la clave como `purpose` y el valor como `test` para un recurso. Las etiquetas le ayudan a hacer lo siguiente:
+ Identificar y organizar sus recursos de AWS. Muchos servicios de AWS admiten el etiquetado, por lo que puede asignar la misma etiqueta a los recursos de diferentes servicios para indicar que los recursos están relacionados. 
+ Controle el acceso a los recursos de AWS. Para más información, consulte [Control del acceso a recursos de AWS con etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) en la *Guía del usuario de Identity and Access Management AWS*.

# Funcionamiento de Network Synthetic Monitor con IAM
<a name="security_iam_service-with-iam-nw"></a>

Antes de utilizar IAM para administrar el acceso a Network Synthetic Monitor, obtenga información sobre qué características de IAM se pueden utilizar con Network Synthetic Monitor.


**Características de IAM que puede utilizar con Network Synthetic Monitor**  

| Característica de IAM | Compatibilidad con Network Synthetic Monitor | 
| --- | --- | 
|  [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies-nw)  |   Sí  | 
|  [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies-nw)  |   No   | 
|  [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions-nw)  |   Sí  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources-nw)  |   Sí  | 
|  [Claves de condición de política](#security_iam_service-with-iam-id-based-policies-conditionkeys-nw)  |   Sí  | 
|  [ACL](#security_iam_service-with-iam-acls-nw)  |   No   | 
|  [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags-nw)  |   Parcial  | 
|  [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds-nw)  |   Sí  | 
|  [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions-nw)  |   Sí  | 
|  [Roles de servicio](#security_iam_service-with-iam-roles-service-nw)  |   No   | 
|  [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked-nw)  |   Sí  | 

Para obtener una perspectiva general sobre el funcionamiento de Network Synthetic Monitor y otros servicios de AWS con la mayoría de las características de IAM, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.

## Políticas basadas en identidades de Network Synthetic Monitor
<a name="security_iam_service-with-iam-id-based-policies-nw"></a>

**Compatibilidad con las políticas basadas en identidad:** sí

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.

### Ejemplos de políticas basadas en identidades de Network Synthetic Monitor
<a name="security_iam_service-with-iam-id-based-policies-examples-nw"></a>

Para ver ejemplos de políticas basadas en identidades de Network Synthetic Monitor, consulte [Ejemplos de políticas basadas en identidades para Amazon CloudWatch](security_iam_id-based-policy-examples.md).

## Políticas basadas en recursos dentro de Network Synthetic Monitor
<a name="security_iam_service-with-iam-resource-based-policies-nw"></a>

**Admite políticas basadas en recursos:** no 

Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Las entidades principales pueden incluir cuentas, usuarios, roles, usuarios federados o Servicios de AWS.

Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Acciones de políticas de Network Synthetic Monitor
<a name="security_iam_service-with-iam-id-based-policies-actions-nw"></a>

**Compatibilidad con las acciones de políticas:** sí

Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.

Para ver una lista de las acciones de Network Synthetic Monitor, consulte [Acciones definidas por Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.

Las acciones de políticas de Network Synthetic Monitor utilizan el siguiente prefijo antes de la acción:

```
networkmonitor
```

Para especificar varias acciones en una única instrucción, sepárelas con comas.

```
"Action": [
      "networkmonitor:action1",
      "networkmonitor:action2"
         ]
```

Para ver ejemplos de políticas basadas en identidades de Network Synthetic Monitor, consulte [Ejemplos de políticas basadas en identidades para Amazon CloudWatch](security_iam_id-based-policy-examples.md).

## Recursos de políticas de Network Synthetic Monitor
<a name="security_iam_service-with-iam-id-based-policies-resources-nw"></a>

**Compatibilidad con los recursos de políticas:** sí

Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.

```
"Resource": "*"
```

Para ver una lista de tipos de recursos de Network Synthetic Monitor y los ARN, consulte [Recursos definidos por Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-resources-for-iam-policies) en la *Referencia de autorizaciones de servicio*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions).

## Claves de condición de políticas de Network Synthetic Monitor
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys-nw"></a>

**Compatibilidad con claves de condición de políticas específicas del servicio:** sí

Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.

Para ver una lista de las claves de condición de Network Monitor, consulte [Claves de condición para Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-policy-keys) en la *Referencia de autorizaciones de servicio*. Para obtener más información acerca de las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html#amazoncloudwatchnetworkmonitor-actions-as-permissions).

## ACL en Network Synthetic Monitor
<a name="security_iam_service-with-iam-acls-nw"></a>

**Compatibilidad con ACL**: no 

Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.

## ABAC con Network Synthetic Monitor
<a name="security_iam_service-with-iam-tags-nw"></a>

**Compatibilidad con ABAC (etiquetas en las políticas):** parcial

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede asociar etiquetas a entidades de IAM y recursos de AWS y, a continuación, diseñar políticas de ABAC para permitir operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso.

Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.

*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

## Uso de credenciales temporales con Network Synthetic Monitor
<a name="security_iam_service-with-iam-roles-tempcreds-nw"></a>

**Compatibilidad con credenciales temporales:** sí

Las credenciales temporales proporcionan acceso a corto plazo a los recursos de AWS y se crean automáticamente cuando se utiliza la federación o se cambia de rol. AWS recomienda generar credenciales temporales de forma dinámica en lugar de usar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.

## Permisos de entidades principales entre servicios para Network Synthetic Monitor
<a name="security_iam_service-with-iam-principal-permissions-nw"></a>

**Admite sesiones de acceso directo (FAS):** sí

 Las sesiones de acceso directo (FAS) utilizan los permisos de la entidad principal para llamar a un Servicio de AWS, combinados con el Servicio de AWS solicitante, para realizar solicitudes a servicios posteriores. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Roles de servicio de Network Synthetic Monitor
<a name="security_iam_service-with-iam-roles-service-nw"></a>

**Compatible con roles de servicio:** No 

 Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*. 

**aviso**  
Es posible que cambiar los permisos de un rol de servicio interrumpa la funcionalidad de Network Synthetic Monitor. Edite los roles de servicio solo cuando Network Synthetic Monitor proporcione información sobre cómo hacerlo.

## Uso de un rol vinculado a servicio para Network Synthetic Monitor
<a name="security_iam_service-with-iam-roles-service-linked-nw"></a>

**Compatible con roles vinculados al servicio:** sí

 Un rol vinculado a servicios es un tipo de rol de servicio que está vinculado a un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios. 

Para más información sobre cómo crear o administrar roles vinculados a servicios, consulta [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam-nw.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.

# Ejemplos de políticas basadas en identidades de Network Synthetic Monitor
<a name="security_iam_id-based-policy-examples-nw"></a>

De forma predeterminada, los usuarios y los roles no tienen permiso para crear o modificar recursos de Network Synthetic Monitor. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.

Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las acciones y los tipos de recursos definidos por Network Synthetic Monitor, incluido el formato de los ARN para cada tipo de recurso, consulte [Acciones, recursos y claves de condición de Network Synthetic Monitor](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazoncloudwatchnetworkmonitor.html) en la *Referencia de autorizaciones de servicio*.

**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices-nw)
+ [Uso de la consola de Network Synthetic Monitor](#security_iam_id-based-policy-examples-console-nw)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions-nw)
+ [Resolución de problemas de identidades y accesos de Network Synthetic Monitor](security_iam_troubleshoot-nw.md)

## Prácticas recomendadas sobre las políticas
<a name="security_iam_service-with-iam-policy-best-practices-nw"></a>

Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Network Synthetic Monitor de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience a utilizar las políticas administradas de AWS y avance hacia permisos de privilegios mínimos**. Para empezar a conceder permisos a los usuarios y cargas de trabajo, utilice las *políticas administradas de AWS* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su Cuenta de AWS. Se recomienda definir políticas administradas por el cliente de AWS específicas para sus casos de uso a fin de reducir aún más los permisos. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede usar condiciones para conceder acceso a acciones de servicios si se emplean a través de un Servicio de AWS determinado como, por ejemplo, CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Solicite la autenticación multifactor (MFA)**: si se encuentra en una situación en la que necesite usuarios raíz o de IAM en su Cuenta de AWS, active la MFA para obtener una mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

## Uso de la consola de Network Synthetic Monitor
<a name="security_iam_id-based-policy-examples-console-nw"></a>

Para acceder a la consola de Network Synthetic Monitor, debe tener un conjunto mínimo de permisos. Con estos permisos, debe poder registrar y consultar los detalles acerca de los recursos de Network Synthetic Monitor en la Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.

No es necesario conceder permisos mínimos para la consola a los usuarios que solo realizan llamadas a la AWS CLI o a la API de AWS. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.

Para asegurarse de que los usuarios y los roles puedan seguir utilizando la consola de Network Synthetic Monitor, asocie también la `ConsoleAccess` de Network Synthetic Monitor o la política administrada `ReadOnly` de AWS a las entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console-nw) en la *Guía del usuario de IAM*:

## Cómo permitir a los usuarios consultar sus propios permisos
<a name="security_iam_id-based-policy-examples-view-own-permissions-nw"></a>

En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la API de AWS.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

# Resolución de problemas de identidades y accesos de Network Synthetic Monitor
<a name="security_iam_troubleshoot-nw"></a>

Utilice la siguiente información para diagnosticar y solucionar los problemas habituales que podrían surgir al trabajar con Network Synthetic Monitor e IAM.

**Topics**
+ [Sin autorización para hacer una acción en Network Synthetic Monitor](#security_iam_troubleshoot-no-permissions-nw)
+ [No tengo autorización para realizar la operación iam:PassRole](#security_iam_troubleshoot-passrole-nw)
+ [Quiero permitir que personas ajenas a mi Cuenta de AWS puedan acceder a mis recursos de Network Synthetic Monitor](#security_iam_troubleshoot-cross-account-access-nw)

## Sin autorización para hacer una acción en Network Synthetic Monitor
<a name="security_iam_troubleshoot-no-permissions-nw"></a>

Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.

En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `networkmonitor:GetWidget`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: networkmonitor:GetWidget on resource: my-example-widget
```

En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `networkmonitor:GetWidget`.

Si necesita ayuda, contacte con su administrador de AWS. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## No tengo autorización para realizar la operación iam:PassRole
<a name="security_iam_troubleshoot-passrole-nw"></a>

Si recibe un error que indica que no tiene autorización para hacer la acción `iam:PassRole`, las políticas se deben actualizar a fin de permitirle pasar un rol a Network Synthetic Monitor.

Algunos Servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de crear un nuevo rol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para hacer una acción en Network Synthetic Monitor. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.

Si necesita ayuda, póngase en contacto con su administrador de AWS. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## Quiero permitir que personas ajenas a mi Cuenta de AWS puedan acceder a mis recursos de Network Synthetic Monitor
<a name="security_iam_troubleshoot-cross-account-access-nw"></a>

Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso (ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.

Para obtener más información, consulte lo siguiente:
+ Para obtener información acerca de si Network Synthetic Monitor admite estas características, consulte [Cómo funciona Amazon CloudWatch con IAM](security_iam_service-with-iam.md).
+ Para obtener información acerca de cómo proporcionar acceso a los recursos de las Cuentas de AWS de su propiedad, consulte [Acceso para un usuario de IAM en otra Cuenta de AWS propia](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) en la *Guía del usuario de IAM*.
+ Para obtener información acerca de cómo proporcionar acceso a sus recursos a Cuentas de AWS de terceros, consulte [Proporcionar acceso a Cuentas de AWS que son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la *Guía del usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

# Políticas administradas de AWS para Network Synthetic Monitor
<a name="security-iam-awsmanpol-nw"></a>

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que le brinden a su equipo solo los permisos necesarios. Para comenzar a hacerlo con rapidez, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su cuenta de AWS. Para obtener más información sobre las políticas administradas de AWS, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

Los servicios de AWS mantienen y actualizan las políticas administradas de AWS. No puede cambiar los permisos en las políticas gestionadas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWScuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan los permisos de una política administrada de AWS, por lo tanto, las actualizaciones de las políticas no deteriorarán los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` administrada por AWS proporciona acceso de solo lectura a todos los servicios y recursos de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.

## Política administrada de AWS: CloudWatchNetworkMonitorServiceRolePolicy
<a name="security-iam-CloudWatchNetworkMonitorServiceRolePolicy"></a>

`CloudWatchNetworkMonitorServiceRolePolicy` se asocia a un rol vinculado a servicios que permite al servicio hacer acciones en su nombre y acceder a los recursos asociados a Network Synthetic Monitor. No puede adjuntar esta política a las identidades de IAM. Para obtener más información, consulte [Uso de un rol vinculado a servicio para Network Synthetic Monitor](monitoring-using-service-linked-roles-nw.md). 

## Actualizaciones de Network Synthetic Monitor para las políticas administradas de AWS
<a name="security-iam-awsmanpol-updates-nw"></a>

Para ver detalles sobre las actualizaciones de las políticas administradas de AWS para Network Synthetic Monitor desde que este servicio comenzó a hacer el seguimiento de estos cambios, consulte [Actualizaciones de CloudWatch a las políticas administradas de AWS](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates). Para recibir alertas automáticas sobre cambios en las políticas gestionadas en CloudWatch, suscríbase a la fuente RSS en la página de [Historial de documentos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html) de CloudWatch.

# Permisos de IAM para Network Synthetic Monitor
<a name="CloudWatch-NW-permissions"></a>

Para usar Network Synthetic Monitor, debe contar con los permisos correctos.

Para obtener más información sobre la seguridad en Amazon CloudWatch, consulte [Identity and Access Management para Amazon CloudWatch](auth-and-access-control-cw.md).

## Permisos necesarios para visualizar un monitor
<a name="CloudWatch-IM-permissions.ViewMonitor"></a>

Para visualizar un monitor de Network Synthetic Monitor en la Consola de administración de AWS, debe haber iniciado sesión como rol que tenga los siguientes permisos:

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "networkmonitor:Get*",
                "networkmonitor:List*"
                ],
            "Resource": "*"
        }
    ]
}
```

------

## Permisos necesarios para crear un monitor
<a name="CloudWatch-NW-permissions.CreateMonitor"></a>

Para crear un monitor en Network Synthetic Monitor, los usuarios deben tener permiso para crear un rol vinculado a un servicio asociado a Network Synthetic Monitor. Para obtener más información sobre el rol vinculado a servicios, consulte [Uso de un rol vinculado a servicio para Network Synthetic Monitor](monitoring-using-service-linked-roles-nw.md).

Para crear un monitor de Network Synthetic Monitor en Consola de administración de AWS, debe haber iniciado sesión como usuario o rol que tenga los permisos incluidos en la siguiente política.

**nota**  
Si crea una política de permisos basados en identidad que sea más restrictiva, los usuarios que posean esa política no podrán crear un monitor.

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "networkmonitor:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "networkmonitor.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:GetRole",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/networkmonitor.amazonaws.com/AWSServiceRoleForNetworkMonitor"
        },
        {
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:CreateNetworkInterface",
                "ec2:CreateTags"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------

# Uso de un rol vinculado a servicio para Network Synthetic Monitor
<a name="monitoring-using-service-linked-roles-nw"></a>

 Network Synthetic Monitor utiliza los siguientes roles vinculados a servicios para los permisos que necesita para llamar a otros servicio de AWS en su nombre:
+ [`AWSServiceRoleForNetworkMonitor`](#security-iam-awsmanpol-AWSServiceRoleForNetworkMonitor)

## `AWSServiceRoleForNetworkMonitor`
<a name="security-iam-awsmanpol-AWSServiceRoleForNetworkMonitor"></a>

Network Synthetic Monitor utiliza el rol vinculado al servicio denominado `AWSServiceRoleForNetworkMonitor` para actualizar y administrar los monitores. 

El rol vinculado a servicio de `AWSServiceRoleForNetworkMonitor` confía en el siguiente servicio para asumir el rol: 
+ `networkmonitor.amazonaws.com`

`CloudWatchNetworkMonitorServiceRolePolicy` se adjunta al rol vinculado al servicio y concede acceso al servicio para acceder a los recursos de VPC y EC2 de la cuenta, así como para administrar los monitores que se crean.

### Grupos de permisos
<a name="security-iam-awsmanpol-perms"></a>

 La política se agrupa en los siguientes conjuntos de permisos:
+ `cloudwatch`: esto permite a la entidad principal del servicio publicar las métricas de supervisión de la red en los recursos de CloudWatch.
+ `ec2`: esto permite a la entidad principal del servicio describir las VPC y las subredes de la cuenta para crear o actualizar monitores y sondas. Esto también permite a la entidad principal del servicio crear, modificar y eliminar grupos de seguridad, interfaces de red y sus permisos asociados para configurar el monitor o la sonda a fin de enviar el tráfico de supervisión a sus puntos de conexión.

Para ver los permisos de esta política, consulte [CloudWatchNetworkMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkMonitorServiceRolePolicy.html) en la *Referencia de políticas administradas de AWS*.

## Creación del rol vinculado a servicios
<a name="create-service-linked-role"></a>

`AWSServiceRoleForNetworkMonitor`

No necesita crear manualmente un rol `AWSServiceRoleForNetworkMonitor`. 
+  Network Synthetic Monitor crea el rol `AWSServiceRoleForNetworkMonitor` al establecer el primer monitor con la característica. Este rol se aplica a todos los demás monitores que cree.

Para crear un rol vinculado al servicio en su nombre, debe contar con los permisos necesarios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Editar el rol vinculado a servicios
<a name="edit-service-linked-role"></a>

Puede modificar la descripción de `AWSServiceRoleForNetworkMonitor ` mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminar el rol vinculado a un servicio
<a name="delete-service-linked-role"></a>

Si ya no tiene que utilizar Network Synthetic Monitor, le recomendamos que elimine el rol `AWSServiceRoleForNetworkMonitor`. 

Solo puede eliminar estos roles vinculados a servicios después de eliminar los monitores. Para obtener más información, consulte [Eliminar un monitor](https://docs.aws.amazon.com/ ).

Puede utilizar la consola, la CLI o la API de IAM para eliminar los roles vinculados a servicios. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

Después de eliminar `AWSServiceRoleForNetworkMonitor `, Network Synthetic Monitor creará de nuevo el rol si crea un nuevo monitor. 

## Regiones admitidas para roles vinculados al servicio de Network Synthetic Monitor
<a name="slr-regions"></a>

Network Synthetic Monitor admite el uso de roles vinculados al servicio en Regiones de AWS donde el servicio está disponible. Para obtener más información, consulte los [puntos de conexión de AWS](https://docs.aws.amazon.com//general/latest/gr/rande.html) en la *Referencia general de AWS*.

## Eliminar el rol vinculado a servicios
<a name="delete-service-linked-role"></a>

Si ya no tiene que utilizar Network Synthetic Monitor, le recomendamos que elimine el rol `AWSServiceRoleForNetworkMonitor`. 

Solo puede eliminar estos roles vinculados a servicios después de eliminar los monitores. Para obtener más información, consulte [Eliminar un monitor](https://docs.aws.amazon.com/ ).

Puede utilizar la consola, la CLI o la API de IAM para eliminar los roles vinculados a servicios. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

Después de eliminar `AWSServiceRoleForNetworkMonitor `, Network Synthetic Monitor creará de nuevo el rol si crea un nuevo monitor.