Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Administración del acceso a los recursos
Una *política de permisos* describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.
**nota**
En esta sección se explica el uso de IAM en el contexto de AWS Control Tower. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte [¿Qué es IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) en la *Guía del usuario de IAM*. Para obtener más información acerca de la sintaxis y las descripciones de las políticas de IAM, consulte [Referencia de políticas de IAM de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
Las políticas que se asocian a una identidad de IAM se denominan políticas *basadas en identidades* (políticas de IAM). Las políticas que se adjuntan a un recurso se denominan *políticas basadas en recursos*.
**nota**
AWS Control Tower solo admite políticas basadas en identidades (políticas de IAM).
**Topics**
+ [Acerca de las políticas basadas en identidades (políticas de IAM)](#access-control-manage-access-intro-iam-policies)
+ [Creación de roles y asignación de permisos](assign-permissions.md)
+ [Políticas basadas en recursos](#access-control-manage-access-intro-resource-policies)
## Acerca de las políticas basadas en identidades (políticas de IAM)
Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
+ **Asociar una política de permisos a un usuario o un grupo de su cuenta**: para conceder a un usuario permisos para crear un recurso de AWS Control Tower, como la configuración de una zona de aterrizaje, puede asociar una política de permisos a un usuario o a un grupo al que pertenezca el usuario.
+ **Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas)**: puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de una AWS cuenta (*cuenta A*) puede crear un rol que conceda permisos entre cuentas a otra AWS cuenta (*cuenta B*), o el administrador puede crear un rol que conceda permisos a otro AWS servicio.
1. El administrador de la cuenta A crea un rol de IAM y asocia una política de permisos al rol que concede permisos para administrar los recursos de la cuenta A.
1. El administrador de la cuenta A asocia una política de confianza al rol. La política identifica la cuenta B como la entidad principal, que puede asumir el rol.
1. Como entidad principal, el administrador de la cuenta B puede conceder permiso a cualquier usuario de la cuenta B para que asuma el rol. Al asumir el rol, los usuarios de la cuenta B pueden crear recursos de la cuenta A u obtener acceso a ellos.
1. Para conceder a un AWS servicio la capacidad (permisos) de asumir el rol, el principal que especifiques en la política de confianza puede ser un AWS servicio.
# Creación de roles y asignación de permisos
Los roles y los permisos le dan acceso a los recursos, en AWS Control Tower y en otros servicios de AWS , incluido el acceso programático a los recursos.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
Para obtener más información sobre el uso de IAM para delegar permisos, consulte [Administración de accesos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la *Guía del usuario de IAM*.
**nota**
Al configurar una zona de aterrizaje de AWS Control Tower, necesitará un usuario o un rol con la política **AdministratorAccess**administrada. (arn:aws:iam: :aws:policy/) AdministratorAccess
**Para crear un rol para una (consola de IAM) Servicio de AWS**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación de la consola de IAM, seleccione **Roles** y, a continuación, elija **Crear rol**.
1. En **Tipo de entidad de confianza**, elija **Servicio de AWS**.
1. En **Servicio o caso de uso**, seleccione un servicio y, a continuación, el caso de uso. El servicio define los casos de uso para incluir la política de confianza que requiere el servicio.
1. Elija **Siguiente**.
1. Para las **Políticas de permisos**, las opciones dependen del caso de uso que haya seleccionado:
+ Si el servicio define los permisos para el rol, no puede seleccionar políticas de permisos.
+ Seleccione entre un conjunto limitado de políticas de permisos.
+ Seleccione una de todas las políticas de permisos.
+ No seleccione políticas de permisos en este momento. Después de crear el rol, genere las políticas y luego asócielas al rol.
1. (Opcional) Configure un [límite de permisos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Se trata de una característica avanzada que está disponible para los roles de servicio, pero no para los roles vinculados a servicios.
1. Abra la sección **Configurar límite de permisos** y, a continuación, elija **Utilizar un límite de permisos para controlar los permisos que puedes tener el rol como máximo**.
IAM incluye una lista de las políticas AWS gestionadas y gestionadas por los clientes en su cuenta.
1. Seleccione la política que desea utilizar para el límite de permisos.
1. Elija **Siguiente**.
1. Para **Nombre del rol**, las opciones varían según el servicio:
+ Si el servicio define el nombre del rol, no podrá editarlo.
+ Si el servicio define un prefijo para el nombre del rol, puede ingresar un sufijo opcional.
+ Si el servicio no define el nombre del rol, podrá nombrarlo usted mismo.
**importante**
Cuando asigne un nombre a un rol, tenga en cuenta lo siguiente:
Los nombres de los roles deben ser únicos dentro de tu perfil Cuenta de AWS y no se pueden hacer únicos por mayúsculas y minúsculas.
Por ejemplo, no puedes crear roles denominados tanto **PRODROLE** como **prodrole**. Cuando se utiliza un nombre de rol en una política o como parte de un ARN, el nombre de rol distingue entre mayúsculas y minúsculas, sin embargo, cuando un nombre de rol les aparece a los clientes en la consola, como por ejemplo durante el proceso de inicio de sesión, el nombre de rol no distingue entre mayúsculas y minúsculas.
Dado que otras entidades podrían hacer referencia al rol, no es posible editar el nombre del rol una vez creado.
1. (Opcional) **En Descripción**, ingrese una descripción para el rol.
1. (Opcional) Para editar los casos de uso y los permisos de la función, en las secciones **Paso 1: Seleccionar entidades confiables** o en **Paso 2: Agregar permisos**, elija **Editar**.
1. (Opcional) Para ayudar a identificar, organizar o buscar el rol, agregue etiquetas como pares clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetas para obtener AWS Identity and Access Management recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la Guía del *usuario de IAM*.
1. Revise el rol y, a continuación, elija **Crear rol**.
**Utilización del editor de política de JSON para la creación de una política**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación de la izquierda, elija **Políticas**.
Si es la primera vez que elige **Políticas**, aparecerá la página **Welcome to Managed Policies** (Bienvenido a políticas administradas). Elija **Comenzar**.
1. En la parte superior de la página, seleccione **Crear política**.
1. En la sección **Editor de políticas**, seleccione la opción **JSON**.
1. Introduzca o pegue un documento de política de JSON. Para obtener más información sobre el lenguaje de la política de IAM, consulte Referencia de [políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html).
1. Resuelva las advertencias de seguridad, errores o advertencias generales que se generen durante la[ validación de la política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) y luego elija **Siguiente**.
**nota**
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) en la *Guía del usuario de IAM*.
1. (Opcional) Al crear o editar una política en Consola de administración de AWS, puedes generar una plantilla de política JSON o YAML que puedes usar en CloudFormation las plantillas.
Para ello, en el **editor de políticas**, selecciona **Acciones** y, a continuación, selecciona **Generar CloudFormation plantilla**. Para obtener más información CloudFormation, consulte la [referencia sobre AWS Identity and Access Management los tipos de recursos](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) en la *Guía del AWS CloudFormation usuario*.
1. Cuando haya terminado de agregar permisos a la política, seleccione **Siguiente**.
1. En la página **Revisar y crear**, introduzca el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. Revise los **Permisos definidos en esta política** para ver los permisos que concede la política.
1. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetas para AWS Identity and Access Management recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la Guía del *usuario de IAM*.
1. Elija **Crear política** para guardar la nueva política.
**Para utilizar el editor visual para crear una política**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación de la izquierda, elija **Políticas**.
Si es la primera vez que elige **Políticas**, aparecerá la página **Welcome to Managed Policies** (Bienvenido a políticas administradas). Elija **Get Started** (Comenzar).
1. Elija **Create Policy** (Crear política).
1. En la sección **Editor de políticas**, busque la sección **Seleccionar un servicio** y, a continuación, seleccione un Servicio de AWS. Puede utilizar el cuadro de búsqueda en la parte superior para limitar los resultados en la lista de servicios. Puede elegir solo un servicio dentro de un bloque de permisos de editor visual. Para conceder acceso a más de un servicio, agregue varios bloques de permisos seleccionando **Agregar más permisos**.
1. En **Acciones permitidas**, seleccione las acciones que desee agregar a la política. Puede elegir acciones de una de las siguientes formas:
+ Active la casilla de verificación para todas las acciones.
+ Elija **Agregar acciones** para introducir el nombre de una acción específica. Puede utilizar un carácter comodín (`*`) para especificar varias acciones.
+ Seleccione uno de los grupos de **niveles de acceso** para elegir todas las acciones del nivel de acceso (por ejemplo, **Leer**, **Escribir**, o **Lista**).
+ Amplíe cada uno de los grupos **Access level (Nivel de acceso)** para elegir acciones individuales.
De forma predeterminada, la política que está creando permite las acciones que usted elija. Para denegar las acciones elegidas, seleccione **Switch to deny permissions (Cambiar a denegar permisos)**. Dado que [IAM deniega de forma predeterminada](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html), por motivos de seguridad recomendamos que permita solo aquellas acciones y recursos a los que un usuario necesita acceso. Cree una instrucción JSON para denegar permisos únicamente si desea invalidar un permiso que otra instrucción o política permite. Le recomendamos que limite al mínimo el número de operaciones de denegación de permisos, ya que pueden aumentar la dificultad de solucionar problemas con los permisos.
1. Para **Recursos**, si el servicio y las acciones que seleccionó en los pasos anteriores no admiten la elección de [recursos específicos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), todos los recursos están permitidos y no puede editar esta sección.
Si eligió una o más acciones que admiten [permisos en el nivel de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), el editor visual enumera dichos recursos. A continuación, puede elegir **Resources (Recursos)** para especificar los recursos para su política.
Puede especificar recursos de las siguientes maneras:
+ Elija **Agregar ARNs** para especificar los recursos por sus nombres de recursos de Amazon (ARN). Puede utilizar el editor visual de ARN o la lista ARNs manualmente. Para obtener más información sobre la sintaxis del ARN, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) en la Guía del usuario de *IAM*. Para obtener información sobre su uso ARNs como `Resource` elemento de una política, consulte [Elementos de la política JSON de IAM: recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) en la Guía del usuario de *IAM*.
+ Seleccione **Cualquiera de esta cuenta** junto a un recurso para conceder permisos a cualquier recurso de ese tipo.
+ Seleccione **Todos** para seleccionar todos los recursos para el servicio.
1. (Opcional) Seleccione **Solicitar condiciones: *opcional*** para agregar condiciones a la política que está creando. Las condiciones limitan el efecto de una instrucción de política de JSON. Por ejemplo, puede especificar que a un usuario se le permite realizar las acciones en los recursos solo cuando la solicitud de dicho usuario se produce dentro de un intervalo de tiempo determinado. También puede utilizar condiciones de uso común para limitar si un usuario debe autenticarse con un dispositivo de autenticación multifactor (MFA). O bien puede exigir que la solicitud se origine dentro de un determinado rango de direcciones IP. Para ver una lista de todas las claves de contexto que puedes usar en una condición de política, consulta [las acciones, los recursos y las claves de condición de los AWS servicios](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) en la Referencia de *autorización de servicios*.
Puede elegir las condiciones de una de las siguientes formas:
+ Utilice las casillas de verificación para seleccionar condiciones de uso común.
+ Seleccione **Agregar otra condición** para especificar otras condiciones. Elija los valores **Clave de condición**, **Calificador** y **Operador** de la condición y, a continuación, escriba un **Valor**. Para agregar más de un valor, seleccione **Agregar**. Puede considerar que los valores están conectados mediante un operador lógico `OR`. Cuando haya terminado, seleccione **Agregar condición**.
Para agregar más de una condición, vuelva a seleccionar **Agregar condición**. Repita este procedimiento según sea necesario. Cada condición se aplica únicamente a este bloque de permisos del editor visual. Todas las condiciones deben ser "true" para que el bloque de permisos se considere una coincidencia. En otras palabras, considere que las condiciones están conectadas mediante un operador lógico `AND`.
Para obtener más información acerca del elemento de **condición**, consulte [Elementos de política JSON de IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
1. Para agregar más bloques de permisos, seleccione **Agregar más permisos**. Para cada bloque, repita los pasos 2 a 5.
**nota**
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) en la *Guía del usuario de IAM*.
1. (Opcional) Al crear o editar una política en Consola de administración de AWS, puedes generar una plantilla de política JSON o YAML que puedes usar en CloudFormation las plantillas.
Para ello, en el **editor de políticas**, selecciona **Acciones** y, a continuación, selecciona **Generar CloudFormation plantilla**. Para obtener más información CloudFormation, consulte la [referencia sobre AWS Identity and Access Management los tipos de recursos](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) en la *Guía del AWS CloudFormation usuario*.
1. Cuando haya terminado de agregar permisos a la política, seleccione **Siguiente**.
1. En la página **Revisar y crear**, introduzca el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. Revise los **Permisos definidos en esta política** para asegurarse de que ha concedido los permisos deseados.
1. (Opcional) Agregar metadatos a la política al adjuntar las etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetas para AWS Identity and Access Management recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la Guía del *usuario de IAM*.
1. Elija **Crear política** para guardar la nueva política.
**Concesión de acceso programático**
Los usuarios necesitan acceso programático si quieren interactuar con personas AWS ajenas a. Consola de administración de AWS La forma de conceder el acceso programático depende del tipo de usuario que acceda. AWS
Para conceder acceso programático a los usuarios, elija una de las siguientes opciones.
****
| ¿Qué usuario necesita acceso programático? | Para | Mediante |
| --- | --- | --- |
| IAM | (Recomendado) Utilice las credenciales de la consola como credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs | Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/controltower/latest/userguide/assign-permissions.html) |
| Identidad del personal (Usuarios administrados en el IAM Identity Center) | Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI, AWS SDKs, o AWS APIs. | Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/controltower/latest/userguide/assign-permissions.html) |
| IAM | Utilice credenciales temporales para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs | Siga las instrucciones de [Uso de credenciales temporales con AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) de la Guía del usuario de IAM. |
| IAM | (No recomendado)Utilice credenciales de larga duración para firmar las solicitudes programáticas dirigidas al AWS CLI AWS SDKs, o. AWS APIs | Siga las instrucciones de la interfaz que desea utilizar: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/controltower/latest/userguide/assign-permissions.html) |
## Protección contra atacantes
Para obtener más información sobre cómo protegerte de los atacantes cuando concedes permisos a otros directores de AWS servicio, consulta [las condiciones opcionales de las relaciones de confianza en tu puesto](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html). Al añadir determinadas condiciones a las políticas, puede ayudar a prevenir un tipo específico de ataque, conocido como ataque del *suplente confuso*, que se produce cuando una entidad coacciona a otra con más privilegios para que lleve a cabo una acción, como la suplantación entre servicios. Para obtener información general sobre las condiciones de las políticas, consulte también [Especificación de las condiciones de una política](access-control-overview.md#specifying-conditions).
Para obtener más información acerca del uso de políticas basadas en identidades con AWS Control Tower, consulte [Uso de políticas basadas en identidad (políticas de IAM) para AWS Control Tower](access-control-managing-permissions.md). Para obtener más información sobre usuarios, grupos, roles y permisos, consulte [Identidades (usuarios, grupos y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía del usuario de IAM*.
## Políticas basadas en recursos
Otros servicios, como Amazon S3, también admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política a un bucket de S3 para administrar los permisos de acceso a dicho bucket. AWS Control Tower no admite políticas basadas en recursos.