# Seguridad en AWS Global Accelerator
La seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de una arquitectura de red y de centros de datos diseñados para satisfacer los requisitos de seguridad de las organizaciones más exigentes.
La seguridad es una responsabilidad compartida entre AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta servicios de AWS en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/) . Para obtener información acerca de los programas de conformidad que se aplican a AWS Global Accelerator, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad se determina según el servicio de AWSque utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza Global Accelerator. En los siguientes temas, se le mostrará cómo configurar Global Accelerator para satisfacer sus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que lo ayuden a supervisar y proteger los recursos de Global Accelerator.
**Topics**
+ [Identity and Access Management](security-iam.md)
+ [Proteger las conexiones de VPC](secure-vpc-connections.md)
+ [Registro y monitorización](logging-and-monitoring.md)
+ [Validación de conformidad](compliance-validation.md)
+ [Resiliencia](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura](infrastructure-security.md)
# Administración de identidades y acceso para AWS Global Accelerator
AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién puede estar *autenticado* (ha iniciado sesión) y *autorizado* (tiene permisos) para utilizar recursos de Global Accelerator. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional.
**Topics**
+ [
## Público
](#security_iam_audience)
+ [
## Autenticación con identidades
](#security_iam_authentication)
+ [
## Administración de acceso mediante políticas
](#security_iam_access-manage)
+ [Cómo funciona Global Accelerator con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples.md)
+ [Rol vinculado a servicios](using-service-linked-roles.md)
+ [Políticas administradas de AWS](security-iam-awsmanpol-aga.md)
+ [Políticas basadas en etiquetas](security_iam-tag-policies.md)
+ [Resolución de problemas](security_iam_troubleshoot.md)
## Público
La forma en que utilice AWS Identity and Access Management (IAM) difiere en función del trabajo que realice en Global Accelerator.
**Usuario de servicio**: si utiliza el servicio de Global Accelerator para realizar su trabajo, su administrador le proporciona las credenciales y los permisos que necesita. A medida que utilice más características de Global Accelerator para realizar su trabajo, puede que necesite permisos adicionales. Entender cómo se administra el acceso puede ayudarlo a solicitar los permisos correctos al administrador. Si no puede acceder a una característica en Global Accelerator, consulte [Solución de problemas de identidad y acceso de AWS Global Accelerator](security_iam_troubleshoot.md).
**Administrador del servicio:** si está a cargo de los recursos de Global Accelerator en su empresa, es probable que tenga acceso completo a Global Accelerator. Debe encargarse de determinar a qué características y recursos de Global Accelerator deben acceder los usuarios del servicio. Luego, debe enviar solicitudes a su administrador de IAM para cambiar los permisos de los usuarios de su servicio. Revise la información de esta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo su empresa puede utilizar IAM con Global Accelerator, consulte [Cómo funciona AWS Global Accelerator con IAM](security_iam_service-with-iam.md).
**Administrador de IAM:** si es un administrador de IAM, puede obtener información sobre cómo escribir políticas para administrar el acceso a Global Accelerator. Para consultar ejemplos de políticas basadas en identidades de Global Accelerator que se pueden utilizar en IAM, consulte [Ejemplos de políticas basadas en identidades para AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## Autenticación con identidades
La autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Debe estar *autenticado* (haber iniciado sesión en AWS) como Usuario raíz de la cuenta de AWS, como un usuario de IAM o asumiendo un rol de IAM.
Puede iniciar sesión en AWS como una identidad federada mediante las credenciales proporcionadas a través de una fuente de identidad. AWS IAM Identity Center Los usuarios (del Centro de identidades de IAM), la autenticación de inicio de sesión único de su empresa y sus credenciales de Google o Facebook son ejemplos de identidades federadas. Al iniciar sesión como una identidad federada, su administrador habrá configurado previamente la federación de identidades mediante roles de IAM. Cuando accede a AWS mediante la federación, está asumiendo un rol de forma indirecta.
Según el tipo de usuario que sea, puede iniciar sesión en Consola de administración de AWS o en el portal de acceso AWS. Para obtener más información sobre el inicio de sesión en AWS, consulte [Cómo iniciar sesión en su Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In*.
Si accede a AWS mediante programación, AWS proporciona un kit de desarrollo de software (SDK) y una interfaz de la línea de comandos (CLI) para firmar criptográficamente las solicitudes mediante el uso de las credenciales. Si no usa las herramientas de AWS, debe firmar las solicitudes. Para obtener más información sobre cómo usar el método recomendado para la firma de solicitudes personalmente, consulte [AWS Signature Version 4 para solicitudes de la API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
Independientemente del método de autenticación que use, es posible que deba proporcionar información de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor (MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte [Autenticación multifactor](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) en la *Guía del usuario de AWS IAM Identity Center* y [Autenticación multifactor de AWS en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) en la *Guía del usuario de IAM*.
### Usuario raíz de Cuenta de AWS
Cuando se crea una Cuenta de AWS, se comienza con una identidad de inicio de sesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidad recibe el nombre de *usuario raíz* de la Cuenta de AWS y se accede a ella iniciando sesión con el email y la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuario raíz para sus tareas diarias. Proteja las credenciales del usuario raíz y utilícelas solo para las tareas que solo el usuario raíz pueda realizar. Para ver la lista completa de las tareas que requieren que inicie sesión como usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, solicite que los usuarios humanos, incluidos los que requieren acceso de administrador, utilicen la federación con un proveedor de identidades para acceder a los Servicios de AWS utilizando credenciales temporales.
Una *identidad federada* es un usuario del directorio de usuarios de su empresa, un proveedor de identidad web, el Directory Service, el directorio del Identity Center, o cualquier usuario que acceda a Servicios de AWS utilizando credenciales proporcionadas a través de una fuente de identidad. Cuando identidades federadas acceden a Cuentas de AWS, asumen roles y los roles proporcionan credenciales temporales.
Para una administración de acceso centralizada, le recomendamos que utilice AWS IAM Identity Center. Puede crear usuarios y grupos en el IAM Identity Center o puede conectarse y sincronizar con un conjunto de usuarios y grupos de su propia fuente de identidad para usarlos en todas sus aplicaciones y Cuentas de AWS. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad de la Cuenta de AWSque dispone de permisos específicos para una sola persona o aplicación. Siempre que sea posible, recomendamos emplear credenciales temporales, en lugar de crear usuarios de IAM que tengan credenciales de larga duración como contraseñas y claves de acceso. No obstante, si tiene casos de uso específicos que requieran credenciales de larga duración con usuarios de IAM, recomendamos rotar las claves de acceso. Para más información, consulte [Rotar las claves de acceso periódicamente para casos de uso que requieran credenciales de larga duración](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) en la *Guía del usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesión como grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los grupos facilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener un grupo cuyo nombre fuese *IAMAdmins* y conceder permisos a dicho grupo para administrar los recursos de IAM.
Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación, pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienen credenciales de larga duración permanentes; no obstante, los roles proporcionan credenciales temporales. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad de la Cuenta de AWSque dispone de permisos específicos. Es similar a un usuario de IAM, pero no está asociado a una determinada persona. Para asumir temporalmente un rol de IAM en la Consola de administración de AWS, puede [cambiar de un rol de usuario a un rol de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Puedes asumir un rol llamando a una operación de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para más información sobre los métodos para el uso de roles, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:
+ **Acceso de usuario federado**: para asignar permisos a una identidad federada, puede crear un rol y definir sus permisos. Cuando se autentica una identidad federada, se asocia la identidad al rol y se le conceden los permisos define el rol. Para obtener información acerca de roles para federación, consulte [Creación de un rol para un proveedor de identidades de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*. Si utiliza IAM Identity Center, debe configurar un conjunto de permisos. IAM Identity Center correlaciona el conjunto de permisos con un rol en IAM para controlar a qué pueden acceder las identidades después de autenticarse. Para obtener información acerca de los conjuntos de permisos, consulte [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center*.
+ **Permisos de usuario de IAM temporales**: un usuario de IAM puede asumir un rol de IAM para recibir temporalmente permisos distintos que le permitan realizar una tarea concreta.
+ **Acceso entre cuentas**: puede utilizar un rol de IAM para permitir que alguien (una entidad principal de confianza) de otra cuenta acceda a los recursos de la cuenta. Los roles son la forma principal de conceder acceso entre cuentas. No obstante, con algunos Servicios de AWS se puede adjuntar una política directamente a un recurso (en lugar de utilizar un rol como representante). Para obtener información acerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
+ **Acceso entre servicios**: algunos Servicios de AWS utilizan características de otros Servicios de AWS. Por ejemplo, cuando realiza una llamada en un servicio, es común que ese servicio ejecute aplicaciones en Amazon EC2 o almacene objetos en Amazon S3. Es posible que un servicio haga esto usando los permisos de la entidad principal, usando un rol de servicio o usando un rol vinculado a servicios.
+ **Reenviar sesiones de acceso (FAS)**: cuando utiliza un rol o un usuario de IAM para llevar a cabo acciones en AWS, se le considera una entidad principal. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. FAS utiliza los permisos de la entidad principal para llamar a un Servicio de AWS, combinados con el Servicio de AWS solicitante para realizar solicitudes a servicios posteriores. Las solicitudes de FAS solo se realizan cuando un servicio recibe una solicitud que requiere interacciones con otros Servicios de AWS o recursos para completarse. En este caso, debe tener permisos para realizar ambas acciones. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Reenviar sesiones de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ **Rol de servicio**: un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que adopta un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Creación de un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
+ **Rol vinculado a los servicios**: un rol vinculado a servicios es un tipo de rol de servicio que está vinculado a un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
+ **Aplicaciones que se ejecutan en Amazon EC2**: puede utilizar un rol de IAM que le permita administrar credenciales temporales para las aplicaciones que se ejecutan en una instancia de EC2 y realizan solicitudes a la AWS CLI o a la API de AWS. Es preferible hacerlo de este modo a almacenar claves de acceso en la instancia de EC2. Para asignar un rol de AWS a una instancia de EC2 y ponerla a disposición de todas las aplicaciones, cree un perfil de instancia adjuntado a la instancia. Un perfil de instancia contiene el rol y permite a los programas que se ejecutan en la instancia de EC2 obtener credenciales temporales. Para más información, consulte [Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias de Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) en la *Guía del usuario de IAM*.
## Administración de acceso mediante políticas
Para controlar el acceso en AWS, se crean políticas y se adjuntan a identidades o recursos de AWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define sus permisos. AWS evalúa estas políticas cuando una entidad principal (sesión de rol, usuario o usuario raíz) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o se deniega. La mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtener más información sobre la estructura y el contenido de los documentos de política JSON, consulte [Información general de políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puede añadir las políticas de IAM a roles y los usuarios pueden asumirlos.
Las políticas de IAM definen permisos para una acción independientemente del método que se utilice para realizar la operación. Por ejemplo, suponga que dispone de una política que permite la acción `iam:GetRole`. Un usuario con dicha política puede obtener información del usuario de la Consola de administración de AWS, la AWS CLI o la API de AWS.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidades pueden clasificarse además como *políticas insertadas* o *políticas administradas*. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Las políticas administradas son políticas independientes que puede adjuntar a varios usuarios, grupos y roles de su Cuenta de AWS. Las políticas administradas incluyen las políticas administradas de AWS y las políticas administradas por el cliente. Para más información sobre cómo elegir una política administrada o una política insertada, consulta [Elegir entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política en función de recursos. Las entidades principales pueden incluir cuentas, usuarios, roles, usuarios federados o Servicios de AWS.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No se puede utilizar políticas de IAM administradas de AWS en una política basada en recursos.
### Listas de control de acceso (ACL)
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten las ACL. Para obtener más información sobre las ACL, consulte [Información general de Lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite otros tipos de políticas adicionales menos frecuentes. Estos tipos de políticas pueden establecer el máximo de permisos que los tipos de políticas más frecuentes le conceden.
+ **Límites de permisos**: un límite de permisos es una característica avanzada que le permite establecer los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuario o rol de IAM). Puede establecer un límite de permisos para una entidad. Los permisos resultantes son la intersección de las políticas basadas en la identidad de la entidad y los límites de permisos. Las políticas basadas en recursos que especifiquen el usuario o rol en el campo `Principal` no estarán restringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información sobre los límites de los permisos, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicio (SCP)**: las SCP son políticas de JSON que especifican los permisos máximos de una organización o una unidad organizativa en AWS Organizations. AWS Organizations es un servicio que le permite agrupar y administrar de manera centralizada varias Cuentas de AWS que posea su empresa. Si habilita todas las características en una empresa, entonces podrá aplicar políticas de control de servicio (SCP) a una o todas sus cuentas. Una SCP limita los permisos para las entidades de las cuentas de miembros, incluido cada Usuario raíz de la cuenta de AWS. Para obtener más información acerca de SCP y Organizations, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations*.
+ **Políticas de sesión**: las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y las políticas de la sesión. Los permisos también pueden proceder de una política en función de recursos. Una denegación explícita en cualquiera de estas políticas anulará el permiso. Para más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para obtener información acerca de cómo AWS decide si permitir o no una solicitud cuando hay varios tipos de políticas implicados, consulte [Lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona AWS Global Accelerator con IAM
Antes de utilizar IAM para administrar el acceso a Global Accelerator, sepa qué características de IAM se pueden utilizar con Global Accelerator.
Para ver las tablas que muestran una perspectiva general similar de cómo funcionan los servicios de AWS con la mayoría de las características de IAM, consulte [los servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
**Características de IAM que puede utilizar con AWS Global Accelerator**
| Característica de IAM | Soporte de Global Accelerator. |
| --- | --- |
| [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies) | Sí |
| [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies) | No |
| [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| [ACL](#security_iam_service-with-iam-acls) | Sí |
| [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags) | Parcial |
| [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Permisos de entidades principales](#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles de servicio](#security_iam_service-with-iam-roles-service) | No |
| [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked) | Sí |
## Políticas basadas en identidad de Global Accelerator
**Compatibilidad con las políticas basadas en identidad:** sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulta [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que está adjunto. Para más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
Para ver ejemplos de políticas basadas en identidades de Global Accelerator, consulte [Ejemplos de políticas basadas en identidades para AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos de Global Accelerator
**Admite políticas basadas en recursos:** no
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico.
## Acciones de políticas para Global Accelerator
**Compatibilidad con las acciones de política:** sí
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Las acciones de la política generalmente tienen el mismo nombre que la operación de API de AWS asociada. Hay algunas excepciones, como *acciones de solo permiso* que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan *acciones dependientes*.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de las acciones de Global Accelerator, consulte [Acciones definidas por AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-actions-as-permissions) en la *Referencia de autorizaciones de servicio*.
Las acciones de políticas de Global Accelerator utilizan el siguiente prefijo antes de la acción:
```
aws-globalaccelerator
```
Para especificar varias acciones en una única instrucción, sepárelas con comas.
```
"Action": [
"aws-globalaccelerator:action1",
"aws-globalaccelerator:action2"
]
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "aws-globalaccelerator:Describe*"
```
Para ver ejemplos de políticas basadas en identidades de Global Accelerator, consulte [Ejemplos de políticas basadas en identidades para AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## Recursos de políticas para Global Accelerator
**Compatibilidad con los recursos de políticas:** sí
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento `Resource` o `NotResource`. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Puede hacerlo para acciones que admitan un tipo de recurso específico, conocido como *permisos de nivel de recurso*.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
En la *Referencia de autorizaciones de servicio*, puede ver la siguiente información relacionada con Global Accelerator:
+ Para ver una lista de los tipos de recursos de Global Accelerator y sus ARN, consulte [Recursos definidos por AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-resources-for-iam-policies).
+ Para obtener información de las acciones que puede especificar con el ARN de cada recurso, consulte [Acciones definidas por AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-actions-as-permissions).
Para ver ejemplos de políticas basadas en identidades de Global Accelerator, consulte [Ejemplos de políticas basadas en identidades para AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## Claves de condición de política para Global Accelerator
**Compatibilidad con claves de condición de políticas específicas del servicio:** sí
Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` (o *bloque* de `Condition`) permite especificar condiciones en las que entra en vigor una instrucción. El elemento `Condition` es opcional. Puede crear expresiones condicionales que utilicen [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de `Condition` en una instrucción o varias claves en un único elemento de `Condition`, AWS las evalúa mediante una operación `AND` lógica. Si especifica varios valores para una única clave de condición, AWS evalúa la condición con una operación lógica `OR`. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para más información, consulte [Elementos de la política de IAM: variables y etiquetas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) en la *Guía del usuario de IAM*.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición globales de AWS, consulte [Claves de contexto de condición globales de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)en la *Guía del usuario de IAM*.
Para ver una lista de las claves de condición de Global Accelerator, consulte [las claves de condición de AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-policy-keys) en la *Referencia de autorización de servicios*. Para obtener más información acerca de las acciones y los recursos con los que puede utilizar una clave de condición, consulte [Acciones definidas por AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html#awsglobalaccelerator-actions-as-permissions).
Para ver ejemplos de políticas basadas en identidades de Global Accelerator, consulte [Ejemplos de políticas basadas en identidades para AWS Global Accelerator](security_iam_id-based-policy-examples.md).
## ACL en Global Accelerator
**Compatibilidad con ACL**: sí
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
## ABAC con Global Accelerator
**Compatibilidad con ABAC (etiquetas en las políticas):** parcial
Global Accelerator tiene compatibilidad *parcial* son las etiquetas en las políticas. Admite el etiquetado de un recurso, los aceleradores. Para obtener más información acerca del uso de etiquetas en las condiciones de las declaraciones de política y para ver un ejemplo de política para limitar el acceso a un recurso en función de las etiquetas del recurso, consulte [Uso de políticas basadas en etiquetas con AWS Global Accelerator](security_iam-tag-policies.md).
Para obtener más información sobre el etiquetado de los recursos de Global Accelerator, consulte [Etiquetado en AWS Global Accelerator](tagging-in-global-accelerator.md).
Para obtener más información sobre el uso de etiquetas en las políticas, consulte la siguiente información.
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos. En AWS, estos atributos se denominan *etiquetas*. Puede adjuntar etiquetas a entidades de IAM (usuarios o roles) y a muchos recursos de AWS. El etiquetado de entidades y recursos es el primer paso de ABAC. A continuación, designa las políticas de ABAC para permitir operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso al que se intenta acceder.
ABAC es útil en entornos que crecen con rapidez y ayuda en situaciones en las que la administración de las políticas resulta engorrosa.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.
Para obtener más información sobre ABAC, consulte [Definir permisos con la autorización ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la *Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.
## Uso de credenciales temporales con Global Accelerator
**Compatibilidad con credenciales temporales:** sí
Algunos Servicios de AWS no funcionan cuando inicia sesión con credenciales temporales. Para obtener información adicional, incluida la información sobre qué Servicios de AWS funcionan con credenciales temporales, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.
Utiliza credenciales temporales si inicia sesión en la Consola de administración de AWS con cualquier método, excepto un nombre de usuario y una contraseña. Por ejemplo, cuando accede a AWS utilizando el enlace de inicio de sesión único (SSO) de la empresa, ese proceso crea automáticamente credenciales temporales. También crea automáticamente credenciales temporales cuando inicia sesión en la consola como usuario y luego cambia de rol. Para más información sobre el cambio de roles, consulte [Cambiar de usuario a rol de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) en la *Guía del usuario de IAM*.
Puedes crear credenciales temporales de forma manual mediante la AWS CLI o la API de AWS. A continuación, puede usar esas credenciales temporales para acceder a AWS. AWS recomienda generar credenciales temporales de forma dinámica en lugar de usar claves de acceso a largo plazo. Para más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html).
## Permisos de entidades principales entre servicios para Global Accelerator
**Admite sesiones de acceso directo (FAS):** sí
Cuando utiliza un usuario o un rol de IAM para llevar a cabo acciones en AWS, se lo considera una entidad principal. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. FAS utiliza los permisos de la entidad principal para llamar a un Servicio de AWS, combinados con el Servicio de AWS solicitante para realizar solicitudes a servicios posteriores. Las solicitudes de FAS solo se realizan cuando un servicio recibe una solicitud que requiere interacciones con otros Servicios de AWS o recursos para completarse. En este caso, debe tener permisos para realizar ambas acciones. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Reenviar sesiones de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Roles de servicio de Global Accelerator
**Compatible con roles de servicio:** No
Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Creación de un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.
## Rol vinculado a servicios de Global Accelerator
**Admite roles vinculados al servicio:** sí
Un rol vinculado al servicio es un tipo de rol de servicio que está vinculado a un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para más información sobre el rol vinculado al servicio para Global Accelerator, consulte [Rol vinculado al servicio de AWS Global Accelerator](using-service-linked-roles.md).
Para obtener más información acerca de cómo crear o administrar roles vinculados a servicios en AWS, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Busque un servicio en la tabla que incluya `Yes` en la columna **Rol vinculado a un servicio**. Seleccione el vínculo **Sí** para ver la documentación acerca del rol vinculado a servicios para ese servicio.
# Ejemplos de políticas basadas en identidades para AWS Global Accelerator
De forma predeterminada, los usuarios y roles no tienen permiso para crear ni modificar recursos de Global Accelerator. Tampoco pueden realizar tareas mediante la Consola de administración de AWS, la AWS Command Line Interface (AWS CLI) o la API de AWS. Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan. A continuación, el administrador puede añadir las políticas de IAM a roles y los usuarios pueden asumirlos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las acciones y los tipos de recursos definidos por Global Accelerator, incluido el formato de los ARN para cada tipo de recurso, consulte [Acciones, recursos y claves de condición para AWS Global Accelerator](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsglobalaccelerator.html) en la *Referencia de autorizaciones de servicio*.
**Topics**
+ [
## Prácticas recomendadas sobre las políticas
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Crear un acelerador de Global Accelerator
](#security_iam_id-based-policy-examples-create-accelerator)
+ [
## Uso de la consola de Global Accelerator
](#security_iam_id-based-policy-examples-console)
+ [
## Uso de una acción de la API de Global Accelerator
](#security_iam_id-based-policy-examples-api)
+ [
## Cómo permitir a los usuarios consultar sus propios permisos
](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, acceder o eliminar los recursos de Global Accelerator en su cuenta. Estas acciones pueden generar costes adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas administradas por AWSy continúe con los permisos de privilegio mínimo**: a fin de comenzar a conceder permisos a los usuarios y las cargas de trabajo, utilice las *políticas administradas por AWS*, que conceden permisos para muchos casos de uso comunes. Están disponibles en su Cuenta de AWS. Se recomienda definir políticas administradas por el cliente de AWS específicas para sus casos de uso a fin de reducir aún más los permisos. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puede usar condiciones para conceder acceso a acciones de servicios si se emplean a través de un Servicio de AWS determinado como, por ejemplo, CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utilice el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas mediante el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía de usuario de IAM*.
+ **Solicite la autenticación multifactor (MFA)**: si se encuentra en una situación en la que necesita usuarios raíz o de IAM en su Cuenta de AWS, active la MFA para mayor seguridad. Para solicitar la MFA cuando se invocan las operaciones de la API, agregue las condiciones de la MFA a sus políticas. Para más información, consulta [Configuración del acceso a una API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía de usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte las [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Crear un acelerador de Global Accelerator
Para crear un acelerador de AWS Global Accelerator, los usuarios deben tener permiso para crear roles vinculados a servicios asociados a Global Accelerator.
Para asegurarse de que los usuarios tienen los permisos correctos para crear aceleradores en Global Accelerator, adjunte al usuario una política como la siguiente.
**nota**
Si crea una política de permisos basados en identidad que sea más restrictiva que la política siguiente, los usuarios que posean esa política más restrictiva no podrán crear un acelerador.
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "globalaccelerator.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator*"
}
```
## Uso de la consola de Global Accelerator
Para acceder a la consola de AWS Global Accelerator, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle registrar y consultar los detalles sobre los recursos de Global Accelerator en su Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.
No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.
Para asegurarse de que los usuarios y roles puedan seguir utilizando la consola de Global Accelerator, asocie también el `GlobalAcceleratorReadOnlyAccess` de Global Accelerator o la política administrada `GlobalAcceleratorFullAccess` AWS a las entidades.
Adjunte la primera política, `GlobalAcceleratorReadOnlyAccess`, si los usuarios solo necesitan ver la información de la consola o realizar llamadas a la AWS Command Line Interface o a la API que utiliza operaciones de `List*` o `Describe*`.
Adjunte la segunda política, `GlobalAcceleratorFullAccess`, a los usuarios que necesiten crear aceleradores o realizarles actualizaciones. La política de acceso total incluye *todos* los permisos para Global Accelerator y *describe* los permisos para Amazon EC2 y el Elastic Load Balancing.
**nota**
Si crea una política de permisos basada en la identidad que no incluye los permisos necesarios para Amazon EC2 y el Elastic Load Balancing, los usuarios con esa política no podrán añadir recursos de Amazon EC2 y Elastic Load Balancing a los aceleradores.
Para obtener más información, consulte la [página de políticas administradas de AWS](security-iam-awsmanpol-aga.md) de Global Accelerator o [Agregar permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*.
## Uso de una acción de la API de Global Accelerator
AWS Global Accelerator permite usar acciones en una política. Esto permite que un administrador controle si una entidad puede completar una operación de Global Accelerator.
Por ejemplo, la siguiente política permite a un usuario realizar la operación `CreateAccelerator` para crear un acelerador mediante programación en una cuenta de AWS:
```
{
"Version": "2018-08-08",
"Statement": [
{
"Effect": "Allow",
"Action": [
"globalaccelerator:CreateAccelerator"
],
"Resource":"*"
}
]
}
```
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la API de AWS.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Rol vinculado al servicio de AWS Global Accelerator
AWS Global Accelerator utiliza un rol vinculado al [servicio AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Global Accelerator. El rol vinculado al servicio está predefinido por Global Accelerator e incluye todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica la configuración de Global Accelerator porque ya no tendrá que agregar manualmente los permisos necesarios. Global Accelerator define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Global Accelerator puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a servicios después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Global Accelerator, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados al servicio, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Yes** (Sí) en la columna **Service-linked role** (Rol vinculado al servicio). Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
## Permisos de roles vinculados al servicio de Global Accelerator
AWS Global Accelerator utiliza un rol vinculado a un servicio denominado **AWSServiceRoleForGlobalAccelerator.** Esta función permite a Global Accelerator acceder a los recursos de su cuenta, como los equilibradores de carga y otros puntos de conexión, para asegurarse, por ejemplo, de que solo puede agregar recursos que estén configurados para funcionar con Global Accelerator. La función AWSServiceRoleForGlobalAccelerator también permite a Global Accelerator crear y administrar los recursos necesarios para conservar las direcciones IP de los clientes.
Global Accelerator crea automáticamente un rol denominado AWSServiceRoleForGlobalAccelerator cuando el rol se requiere por primera vez para admitir una operación de la API de Global Accelerator. Este rol es obligatorio para usar aceleradores en Global Accelerator. El ARN del rol AWSServiceRoleForGlobalAccelerator tiene este aspecto:
`arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator`
### Permisos de roles vinculados a servicios
Global Accelerator usa el rol vinculado a servicio denominado **AWSServiceRoleForGlobalAccelerator** para acceder a los recursos y las configuraciones y comprobar si están listos. Este rol vinculado al servicio utiliza la política administrada `AWSGlobalAcceleratorSLRPolicy`.
El rol vinculado al servicio AWSServiceRoleForGlobalAccelerator confía en el siguiente servicio para que asuma el rol:
+ `globalaccelerator.amazonaws.com`
Para ver los permisos de esta política, consulte [AWSGlobalAcceleratorSLRPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSGlobalAcceleratorSLRPolicy.html) en la *Referencia de la política administrada de AWS*.
Debe configurar permisos para permitir que una entidad de IAM (como un usuario, grupo o rol) elimine los roles vinculados a servicios de Global Accelerator. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Creación del rol vinculado a servicios de Global Accelerator
No necesita crear manualmente el rol vinculado al servicio para Global Accelerator. El servicio crea el rol automáticamente la primera vez que se crea un acelerador. Si quita los recursos de Global Accelerator y elimina el rol vinculado a servicio, el servicio crea el rol de nuevo automáticamente al crear el nuevo acelerador.
## Edición del rol vinculado al servicio de Global Accelerator
Global Accelerator no le permite editar el rol vinculado al servicio AWSServiceRoleForGlobalAccelerator. Una vez que el servicio ha creado un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción de un rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación del rol vinculado al servicio de Global Accelerator
Si ya no utiliza Global Accelerator, le recomendamos que elimine el rol vinculado a servicios. De esta forma no tendrá entidades no utilizadas que no se monitoricen ni mantengan de forma activa. Sin embargo, debe limpiar los recursos de Global Accelerator de la cuenta antes de poder eliminar manualmente los roles.
Una vez que ha deshabilitado y eliminado los aceleradores, puede eliminar el rol vinculado al servicio. Para obtener más información acerca de los aceleradores, consulte [Crear acelerador](about-accelerators.creating-editing.md).
**nota**
Si ha deshabilitado y eliminado los aceleradores, pero Global Accelerator no ha finalizado la actualización, la eliminación del rol vinculado al servicio puede dar un error. En tal caso, espere unos minutos y luego realice de nuevo los pasos de eliminación del rol vinculado al servicio.
**Eliminar manualmente el rol vinculado al servicio AWSServiceRoleForGlobalAccelerator**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la consola de IAM, elija **Roles**. A continuación, seleccione la casilla junto al nombre del rol que desea eliminar, no el nombre ni la fila.
1. En **Role actions (Acciones de rol)** en la parte superior de la página, elija **Delete role (Eliminar rol)**.
1. En el cuadro de diálogo de confirmación, revise los datos del último acceso al servicio, que muestra cuándo cada uno de los roles seleccionados tuvo acceso a un servicio de AWS por última vez. Esto lo ayuda a confirmar si el rol está actualmente activo. Si desea continuar, seleccione **Yes, Delete** para enviar la solicitud de eliminación del rol vinculado al servicio.
1. Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Como el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, dicha tarea puede realizarse correctamente o fallar después de que envía la solicitud de eliminación. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Actualizaciones de la política del rol vinculado al servicio de Global Accelerator
Para las actualizaciones de `AWSGlobalAcceleratorSLRPolicy`, la política administrada de AWS para el rol vinculado al servicio de Global Accelerator, consulte la [tabla de actualizaciones de las políticas administradas de AWS](security-iam-awsmanpol-aga.md#security-iam-awsmanpol-globalaccelerator-updates). También puede suscribirse a alertas RSS automáticas en la página [Historial de documentos](WhatsNew.md) del AWS Global Accelerator.
# Políticas administradas de AWS para AWS Global Accelerator
Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.
Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.
Para obtener más información, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## Política administrada de AWS: AWSServiceRoleForGlobalAccelerator
No puede asociar `AWSServiceRoleForGlobalAccelerator` a sus entidades IAM. Esta política está adjuntada a un rol vinculado a un servicio que permite a AWS Global Accelerator acceder a servicios y recursos de AWS que Global Accelerator utiliza o administra. Para obtener más información, consulte [Rol vinculado al servicio de AWS Global Accelerator](using-service-linked-roles.md).
## Política administrada de AWS: GlobalAcceleratorReadOnlyAccess
Puede adjuntar `GlobalAcceleratorReadOnlyAccess` a sus entidades de IAM. Esta política concede acceso de solo lectura a las acciones para trabajar con los aceleradores de Global Accelerator. Es útil para los usuarios que solo necesitan ver la información de la consola o realizar llamadas a la AWS Command Line Interface o a la API que utiliza las operaciones de `List*` o `Describe*`.
Para ver los permisos de esta política, consulte [GlobalAcceleratorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GlobalAcceleratorReadOnlyAccess.html) en la *Referencia de la política administrada de AWS*.
## Política administrada de AWS: GlobalAcceleratorFullAccess
Puede adjuntar `GlobalAcceleratorFullAccess` a sus entidades de IAM. Esta política otorga acceso total a las acciones para trabajar con los aceleradores en Global Accelerator. Asocie esta política a usuarios IAM y otras entidades principales que necesiten un acceso completo a las acciones de Global Accelerator.
**nota**
Si crea una política de permisos basada en la identidad que no incluye los permisos necesarios para Amazon EC2 y el Elastic Load Balancing, los usuarios con esa política no podrán añadir recursos de Amazon EC2 y Elastic Load Balancing a los aceleradores.
Para ver los permisos de esta política, consulte [GlobalAcceleratorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GlobalAcceleratorFullAccess.html) en la *Referencia de políticas administradas de AWS*.
## Global Accelerator actualiza las políticas administradas de AWS
Consulte los detalles sobre las actualizaciones de las políticas administradas de AWS para Global Accelerator debido a que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre los cambios realizados en esta página, suscríbase a la fuente RSS en la [Página del historial de documentación](WhatsNew.md) de Global Accelerator.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSGlobalAcceleratorSLRPolicy](using-service-linked-roles.md#GAXSLRRole): política actualizada | Global Accelerator agregó un nuevo permiso para describir los grupos objetivo en los equilibradores de cargas. Global Accelerator utiliza `elasticloadbalancing:DescribeTargetGroups` para identificar los equilibradores de carga con el tipo de objetivo `ip`, que no es un tipo de objetivo compatible con los puntos de conexión de los equilibradores de carga de doble pila en Global Accelerator. | 20 de octubre de 2023 |
| [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy): política actualizada | Global Accelerator agregó nuevos permisos para describir a los oyentes en los equilibradores de carga y describir las direcciones en las instancias EC2. Global Accelerator utiliza `elasticloadbalancing:DescribeListeners` para admitir la toma de decisiones sobre la administración de los oyentes para los equilibradores de carga, en función de las configuraciones de los oyentes. Global Accelerator utiliza `ec2:DescribeAddresses` para añadir puntos de conexión de direcciones IP elásticas a los aceleradores. | 23 de mayo de 2023 |
| [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy): política actualizada | Global Accelerator agregó nuevos permisos para admitir direcciones IPv6. Global Accelerator utiliza `ec2:AssignIpv6Addresses` para actualizar el ENI de Global Accelerator en una subred de un cliente con una dirección IPv6 para enviar y recibir tráfico IPv6, y utiliza `UnassignIpv6Addresses` para eliminar la dirección IPv6 cuando ya no es necesaria. | 15 de noviembre de 2021 |
| [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy): política actualizada | Global Accelerator agregó un nuevo permiso para ayudarse a diagnosticar errores. Global Accelerator utiliza `ec2:DescribeRegions` para determinar la región de AWS en la que se encuentra el cliente, lo que puede ayudar a Global Accelerator a solucionar los errores. | 18 de mayo de 2021 |
| Global Accelerator comenzó a realizar el seguimiento de los cambios | Global Accelerator comenzó a realizar el seguimiento de los cambios de las políticas administradas por AWS. | 18 de mayo de 2021 |
# Uso de políticas basadas en etiquetas con AWS Global Accelerator
Al diseñar políticas de IAM, es posible establecer permisos pormenorizados mediante la concesión de acceso a recursos específicos. Sin embargo, a medida que aumente la cantidad de recursos que administra, esta tarea será más complicada. El etiquetado de recursos y el uso de etiquetas en las condiciones de instrucción de política pueden facilitar esta tarea. Puede conceder acceso de forma masiva a cualquier recurso que tiene una determinada etiqueta. Puede aplicar repetidamente esta etiqueta a los recursos pertinentes al crear el recurso o al actualizarlo después.
El uso de etiquetas en las condiciones es una manera de controlar el acceso a los recursos y las solicitudes. Las etiquetas se pueden asociar a un recurso o pasarse dentro de la solicitud a los servicios que admiten etiquetado. En Global Accelerator, solo los aceleradores pueden incluir etiquetas. Para obtener más información sobre el etiquetado en Global Accelerator, consulte [Etiquetado en AWS Global Accelerator](tagging-in-global-accelerator.md).
Al crear una política de IAM, puede utilizar las claves de condición de etiqueta para controlar:
+ Los usuarios que pueden realizar acciones en un acelerador, en función de las etiquetas que ya tiene.
+ Las etiquetas que se pueden pasar en la solicitud de una acción.
+ Si se pueden utilizar claves de etiqueta específicas en una solicitud.
Por ejemplo, la política de usuario administrada `GlobalAcceleratorFullAccess` de AWS proporciona a los usuarios permisos ilimitados para realizar cualquier acción de Global Accelerator en cualquier recurso. La siguiente política limita este poder y niega permiso a usuarios no autorizados para realizar acciones de Global Accelerator en entornos de aceleradores de *producción*. El administrador de un cliente debe asociar esta política de IAM a los usuarios de IAM no autorizados, además de la política de usuario administrada.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Deny",
"Action":"*",
"Resource":"*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:RequestTag/stage":"prod"
}
}
},
{
"Effect":"Deny",
"Action":"*",
"Resource":"*",
"Condition":{
"ForAnyValue:StringEquals":{
"aws:ResourceTag/stage":"prod"
}
}
}
]
}
```
Para conocer la sintaxis y la semántica completa de las claves de condición de las etiquetas, consulte [Control del acceso mediante etiquetas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_iam-tags.html) en la *Guía del usuario de IAM*.
# Solución de problemas de identidad y acceso de AWS Global Accelerator
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con Global Accelerator e IAM.
**Topics**
+ [
## No tengo autorización para realizar una acción en Global Accelerator
](#security_iam_troubleshoot-no-permissions)
+ [
## No tengo autorización para realizar la operación iam:PassRole
](#security_iam_troubleshoot-passrole)
+ [
## Quiero permitir a personas externas a mi Cuenta de AWS el acceso a mis recursos de Global Accelerator
](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en Global Accelerator
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `aws-globalaccelerator:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws-globalaccelerator:GetWidget on resource: my-example-widget
```
En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `aws-globalaccelerator:GetWidget`.
Si necesita ayuda, póngase en contacto con su administrador de AWS. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No tengo autorización para realizar la operación iam:PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, se deben actualizar las políticas a fin de permitirle pasar un rol a Global Accelerator.
Algunos servicios de Servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar de crear un nuevo rol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir el rol al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Global Accelerator. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su administrador de AWS. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir a personas externas a mi Cuenta de AWS el acceso a mis recursos de Global Accelerator
Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso (ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.
Para más información, consulte lo siguiente:
+ Para obtener información acerca de si Global Accelerator admite estas características, consulte [Cómo funciona AWS Global Accelerator con IAM](security_iam_service-with-iam.md).
+ Para obtener información acerca de cómo proporcionar acceso a los recursos de las Cuenta de AWS de su propiedad, consulte [Proporcionar acceso a un usuario de IAM a otra Cuentas de AWS de la que es propietario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) en la *Guía del usuario de IAM*.
+ Para obtener información acerca de cómo proporcionar acceso a tus recursos a Cuentas de AWS de terceros, consulte [Proporcionar acceso a Cuentas de AWS que son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la *Guía del usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas, consulte [Cross account resource access in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Proteger las conexiones de VPC en AWS Global Accelerator
Al agregar un equilibrador de carga de red, un equilibrador de carga de aplicación interno o un punto de conexión de una instancia Amazon EC2 en AWS Global Accelerator, se permite que el tráfico de Internet fluya directamente hacia y desde el punto de conexión en las nubes privadas virtuales (VPC) dirigiéndolo a una subred privada. La VPC que contiene el equilibrador de carga o la instancia EC2 debe tener una [puerta de enlace de Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) conectada para indicar que la VPC acepta el tráfico de Internet. Sin embargo, no necesita direcciones IP públicas en el equilibrador de carga o en la instancia EC2. Tampoco se necesita una ruta de puerta de enlace de Internet asociada para la subred.
Esto difiere del caso de uso típico de una puerta de enlace de Internet, en el que se requieren direcciones IP públicas y rutas de puerta de enlace de Internet para que el tráfico de Internet fluya hacia las instancias o los equilibradores de carga en una VPC. Incluso si las interfaces de red elásticas de sus objetivos están presentes en una subred pública (es decir, una subred con una ruta de puerta de enlace de Internet), cuando se utiliza Global Accelerator para el tráfico de Internet, este anula la ruta de Internet típica y todas las conexiones lógicas que llegan a través de Global Accelerator también regresan a través de él en lugar de a través de la puerta de enlace de Internet.
**nota**
El uso de direcciones IP y de una subred públicas para las instancias de Amazon EC2 no es algo habitual, aunque es posible establecer la configuración con ellas. Los grupos de seguridad se aplican a cualquier tráfico que llegue a sus instancias, incluido el tráfico de Global Accelerator y cualquier dirección IP pública o elástica que esté asignada al ENI de su instancia. Use subredes privadas para asegurarse de que el tráfico solo lo entregue Global Accelerator.
Para obtener más información sobre cómo trabajar con los ENI, los grupos de seguridad y Global Accelerator, consulte [Requisitos para los puntos de conexión con conservación de la dirección IP del cliente](about-endpoints.sipp-caveats.md).
Tenga en cuenta esta información al analizar los problemas del perímetro de la red y configurar los privilegios de IAM relacionados con la administración del acceso a Internet. Para obtener más información sobre cómo controlar el acceso de Internet a su VPC, consulte este [ejemplo de política de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_vpc.html).
# Registro y monitoreo en AWS Global Accelerator
El monitoreo es una parte importante del mantenimiento de la disponibilidad y el rendimiento de Global Accelerator y sus soluciones de AWS. Debe recopilar datos de monitoreo de todas las partes de su solución de AWS para que pueda depurar más fácilmente un error multipunto si se produce. AWS proporciona varias herramientas para monitorear sus recursos de Global Accelerator y responder a posibles incidentes:
Global Accelerator proporciona las tres vías principales siguientes para el registro y el seguimiento:
**Alarmas y métricas de Amazon CloudWatch**
CloudWatch monitorea los recursos de AWS y las aplicaciones que ejecuta en AWS en tiempo real. En cuanto se implementa el acelerador, CloudWatch comienza a recopilar y realizar un seguimiento de las métricas de Global Accelerator. Las métricas son variables que puede ver para confirmar que el tráfico está fluyendo o que puede hacer mediciones a lo largo del tiempo.
Puede utilizar las métricas, por ejemplo, para comprobar que el tráfico circule a través de Global Accelerator hacia sus puntos de conexión y de regreso a los clientes, y para ayudar a solucionar problemas. También puede crear alarmas que vigilen métricas específicas y enviar notificaciones o realizar cambios automáticamente en los recursos que está monitoreando cuando esas métricas superan un umbral en un periodo de tiempo.
Para obtener más información, consulte [Uso de Amazon CloudWatch con AWS Global Accelerator](cloudwatch-monitoring.md).
**Registros de flujo de Global Accelerator.**
Los registros de flujo del servidor se configuran en Global Accelerator y proporcionan registros detallados sobre el tráfico que fluye a través de un acelerador hasta un punto de conexión. Los registros de flujo del servidor son útiles para muchas aplicaciones, por ejemplo, para las auditorías de seguridad y acceso. Para obtener más información, consulte [Configuración y uso de registros de flujo en AWS Global Accelerator](monitoring-global-accelerator.flow-logs.md).
**AWS CloudTrailRegistros de **
CloudTrail proporciona un registro de las acciones que realiza un usuario, un rol o un servicio de AWS en Global Accelerator. CloudTrail captura todas las llamadas a la API para Global Accelerator como eventos, incluidas las llamadas procedentes de la consola de Global Accelerator y las llamadas de código a las API de Global Accelerator. Para obtener más información, consulte [Uso de AWS CloudTrail para registrar llamadas de la API de AWS Global Accelerator](logging-using-cloudtrail.md).
# Validación de conformidad en AWS Global Accelerator
Para saber si un Servicio de AWS está incluido en el ámbito de programas de conformidad específicos, consulte [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/) y elija el programa de conformidad que le interese. Para obtener información general, consulte [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/).
Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Su responsabilidad de conformidad al utilizar Servicios de AWS se determina en función de la sensibilidad de los datos, los objetivos de cumplimiento de su empresa y la legislación y los reglamentos correspondientes. AWS proporciona los siguientes recursos para ayudar con la conformidad:
+ [Guías de inicio rápido de seguridad y conformidad](https://aws.amazon.com/quickstart/?awsf.filter-tech-category=tech-category%23security-identity-compliance): estas guías de implementación tratan consideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referencia centrados en la seguridad y la conformidad en AWS.
+ [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) (Arquitectura para la seguridad y el cumplimiento de la HIPAA en Amazon Web Services): en este documento técnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones aptas para HIPAA.
**nota**
No todos los Servicios de AWS son aptos para HIPAA. Para más información, consulte la [Referencia de servicios compatibles con HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference/).
+ [Recursos de conformidad de AWS](https://aws.amazon.com/compliance/resources/): este conjunto de manuales y guías podría aplicarse a su sector y ubicación.
+ [Guías de cumplimiento para clientes de AWS](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf): comprenda el modelo de responsabilidad compartida desde el punto de vista del cumplimiento. Las guías resumen las mejores prácticas para garantizar la seguridad de los Servicios de AWS y orientan los controles de seguridad en varios marcos (incluidos el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés), el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI, por sus siglas en inglés) y la Organización Internacional de Normalización (ISO, por sus siglas en inglés)).
+ [Evaluación de recursos con reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) en la *Guía para desarrolladores de AWS Config*: el servicio AWS Config evalúa en qué medida las configuraciones de sus recursos cumplen las prácticas internas, las directrices del sector y las normativas.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): este Servicio de AWS proporciona una visión completa de su estado de seguridad en AWS. Security Hub utiliza controles de seguridad para evaluar sus recursos de AWS y comprobar su cumplimiento con los estándares y las prácticas recomendadas del sector de la seguridad. Para obtener una lista de los servicios y controles compatibles, consulte la [Referencia de controles de Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-controls-reference.html).
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): este Servicio de AWS detecta posibles amenazas para sus Cuentas de AWS, cargas de trabajo, contenedores y datos mediante la supervisión de su entorno para detectar actividades sospechosas y maliciosas. GuardDuty puede ayudarlo a satisfacer varios requisitos de conformidad, como PCI DSS, cumpliendo los requisitos de detección de intrusos que exigen determinados marcos de conformidad.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html): este servicio de Servicio de AWS le ayuda a auditar continuamente el uso de AWS con el fin de simplificar la forma en que administra el riesgo y la conformidad con las normativas y los estándares del sector.
# Resiliencia en AWS Global Accelerator
La infraestructura global de AWS se compone de regiones y zonas de disponibilidad de AWS. AWS Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
Para obtener más información sobre las regiones y zonas de disponibilidad de AWS, consulte [Infraestructura global de AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Además de la infraestructura global de AWS, Global Accelerator ofrece las siguientes características que le ayudan con sus necesidades de resiliencia de datos:
+ Al igual que una zona de disponibilidad en AWS, una zona de red es una unidad aislada con su propio conjunto de infraestructura física. Al crear un acelerador, Global Accelerator proporciona un conjunto de direcciones IP estáticas: dos direcciones IPv4 estáticas para un acelerador con un tipo de dirección IP IPv4 o cuatro direcciones IP estáticas para un acelerador de doble pila (dos direcciones IPv4 y dos direcciones IPv6). Global Accelerator proporciona una dirección IP estática por zona de red desde una subred IP única para cada familia de direcciones IP. Si una dirección de una zona de red deja de estar disponible debido al bloqueo de la dirección IP por parte de determinadas redes de clientes o de interrupciones en la red, las aplicaciones cliente pueden volver a intentarlo con la dirección IP estática en buen estado de la otra zona de red aislada.
+ Global Accelerator monitoriza continuamente el estado de todos los puntos de conexión. Cuando determina que un punto de conexión activo está en mal estado, Global Accelerator comienza a dirigir el tráfico al instante a otro punto de conexión disponible. Esto le permite crear una arquitectura de alta disponibilidad para sus aplicaciones en AWS.
# Seguridad de la infraestructura en AWS Global Accelerator
Como se trata de un servicio administrado, AWS Global Accelerator está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte [Seguridad en la nube de AWS](https://aws.amazon.com/security/). Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte [Protección de la infraestructura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) en *Portal de seguridad de AWS Well‐Architected Framework*.
Puede utilizar llamadas a la API publicadas en AWS para obtener acceso a Global Accelerator a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM principal. También puede utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.