Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en AWS Health
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre AWS usted y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de cumplimiento aplicables AWS Health, consulte [AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad y AWS servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También eres responsable de otros factores, como la confidencialidad de tus datos, los requisitos de tu empresa y las leyes y reglamentos aplicables.
Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS Health. Los siguientes temas muestran cómo configurarlo AWS Health para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS Health recursos.
**Topics**
+ [Protección de datos en AWS Health](data-protection.md)
+ [Gestión de identidad y acceso para AWS Health](security-iam.md)
+ [Inicio de sesión y supervisión AWS Health](monitoring-overview.md)
+ [Validación de conformidad para AWS Health](compliance-validation.md)
+ [Resiliencia en AWS Health](disaster-recovery-resiliency.md)
+ [Seguridad de la infraestructura en AWS Health](infrastructure-security.md)
+ [Análisis de configuración y vulnerabilidad en AWS Health](vulnerability-analysis-and-management.md)
+ [Mejores prácticas de seguridad para AWS Health](security-best-practices.md)
# Protección de datos en AWS Health
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados que contienen Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con o Servicios de AWS utiliza la consola, la API o AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Cifrado de datos
Consulte la siguiente información sobre cómo se AWS Health cifran los datos.
El cifrado de datos se refiere a la protección de los datos mientras están en tránsito (mientras viajan del servicio a su AWS cuenta) y en reposo (mientras están almacenados en AWS los servicios). Puede proteger los datos en tránsito mediante seguridad de la capa de transporte (TLS) o en reposo mediante el cifrado del cliente.
AWS Health no registra la información de identificación personal (PII), como las direcciones de correo electrónico o los nombres de los clientes, en los eventos.
## Cifrado en reposo
Todos los datos almacenados por AWS Health están cifrados en reposo.
## Cifrado en tránsito
Todos los datos enviados y recibidos AWS Health se cifran en tránsito.
## Administración de claves
AWS Health no admite claves de cifrado administradas por el cliente para los datos cifrados en la AWS nube.
# Gestión de identidad y acceso para AWS Health
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AWS Health La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [¿Cómo AWS Health funciona con IAM](security_iam_service-with-iam.md)
+ [AWS Health ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)
+ [Solución de problemas AWS Health de identidad y acceso](security_iam_troubleshoot.md)
+ [Uso de funciones vinculadas a servicios para AWS Health](using-service-linked-roles.md)
+ [AWS políticas gestionadas para AWS Health](security-iam-awsmanpol.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS Health de identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [¿Cómo AWS Health funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [AWS Health ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### AWS usuario raíz de la cuenta
Al crear una Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz*, que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
AWS Health apoya las condiciones basadas en los recursos. Puede especificar qué eventos de AWS Health pueden ver los usuarios. Por ejemplo, puede crear una política que solo permita a un usuario de IAM acceder a eventos específicos de Amazon EC2 en AWS Health el panel de control.
Para obtener más información, consulte [Recursos](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources).
### Listas de control de acceso
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
AWS Health no es compatible ACLs.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# ¿Cómo AWS Health funciona con IAM
Antes de usar IAM para administrar el acceso AWS Health, debe comprender qué funciones de IAM están disponibles para su uso. AWS Health*Para obtener una visión general de cómo funcionan con IAM AWS Health y otros AWS servicios, consulte [AWS Servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [AWS Health políticas basadas en la identidad](#security_iam_service-with-iam-id-based-policies)
+ [AWS Health políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en etiquetas AWS Health](#security_iam_service-with-iam-tags)
+ [AWS Health Funciones de IAM](#security_iam_service-with-iam-roles)
## AWS Health políticas basadas en la identidad
Con las políticas basadas en identidad de IAM, puede especificar las acciones permitidas o denegadas y los recursos, además de las condiciones en las que se permiten o deniegan las acciones. AWS Health admite acciones, recursos y claves de condiciones específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas AWS Health utilizan el siguiente prefijo antes de la acción:`health:`. Por ejemplo, para conceder a alguien permiso para ver información detallada sobre eventos específicos con la operación de la [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API, debes incluir la `heath:DescribeEventDetails` acción en la política.
Las declaraciones de política deben incluir un `NotAction` elemento `Action` o. AWS Health define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones de en una única instrucción, sepárelas con comas del siguiente modo.
```
"Action": [
"health:action1",
"health:action2"
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción.
```
"Action": "health:Describe*"
```
Para ver una lista de AWS Health acciones, consulte las [acciones definidas por AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions) en la *Guía del usuario de IAM*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Un AWS Health evento tiene el siguiente formato de nombre de recurso de Amazon (ARN).
```
arn:${Partition}:health:*::event/service/event-type-code/event-ID
```
Por ejemplo, para especificar el evento `EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456` en la instrucción, utilice el siguiente ARN.
```
"Resource": "arn:aws:health:*::event/EC2/EC2_INSTANCE_RETIREMENT_SCHEDULED/EC2_INSTANCE_RETIREMENT_SCHEDULED_ABC123-DEF456"
```
Para especificar todos los AWS Health eventos de Amazon EC2 que pertenecen a una cuenta específica, utilice el comodín (\$1).
```
"Resource": "arn:aws:health:*::event/EC2/*/*"
```
Para obtener más información sobre el formato de ARNs, consulte [Amazon Resource Names (ARNs) y AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Algunas AWS Health acciones no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
AWS Health Las operaciones de la API pueden implicar varios recursos. Por ejemplo, la [DescribeEvents](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEvents.html)operación devuelve información sobre los eventos que cumplen un criterio de filtro específico. Esto significa que un usuario de IAM debe tener permisos para ver este evento.
Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"resource1",
"resource2"
```
AWS Health solo admite permisos a nivel de recurso para eventos de estado y solo para las operaciones de la API [DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)y [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)la API. Para obtener más información, consulte [Condiciones basadas en recursos y en acciones](security_iam_id-based-policy-examples.md#resource-action-based-conditions).
Para ver una lista de los tipos de AWS Health recursos y sus correspondientes ARNs, consulte [los recursos definidos por AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-resources-for-iam-policies) en la Guía del usuario de *IAM*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions).
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
AWS Health define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Las operaciones [DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)y la [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API admiten las claves de `health:service` condición `health:eventTypeCode` y.
Para ver una lista de claves de AWS Health condición, consulta las [claves de condición AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-policy-keys) en la *Guía del usuario de IAM*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por AWS Health](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions).
### Ejemplos
Para ver ejemplos de políticas AWS Health basadas en la identidad, consulte. [AWS Health ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)
## AWS Health políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas de JSON que especifican qué acciones puede realizar un director específico en el AWS Health recurso y en qué condiciones. AWS Health admite políticas de permisos basadas en recursos para eventos de salud. Las políticas basadas en recursos le permiten otorgar permiso de uso a otras cuentas por recurso. También puede utilizar una política basada en recursos para permitir que un AWS servicio acceda a sus eventos. AWS Health
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la [entidad principal de una política basada en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Añadir a una política en función de recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de confianza. Cuando el principal y el recurso están en AWS cuentas diferentes, también debes conceder permiso a la entidad principal para acceder al recurso. Conceda permiso asociando a la entidad una política basada en identidades. Sin embargo, si la política basada en recursos concede el acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidad adicional. Para obtener más información, consulte [Cómo los roles de IAM difieren de las políticas basadas en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) en la *Guía del usuario de IAM*.
AWS Health solo admite políticas basadas en recursos para las operaciones de la [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API [DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)y las de la API. Puede especificar estas acciones en una política para definir qué entidades principales (cuentas, usuarios, roles y usuarios federados) pueden realizar acciones en el evento. AWS Health
### Ejemplos
Para ver ejemplos de políticas AWS Health basadas en recursos, consulte. [Condiciones basadas en recursos y en acciones](security_iam_id-based-policy-examples.md#resource-action-based-conditions)
## Autorización basada en etiquetas AWS Health
AWS Health no admite el etiquetado de los recursos ni el control del acceso en función de las etiquetas.
## AWS Health Funciones de IAM
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos.
### Usar credenciales temporales con AWS Health
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones de AWS STS API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS Health admite el uso de credenciales temporales.
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
AWS Health admite la integración de roles vinculados al servicio. AWS Organizations El rol vinculado a servicio se denomina `AWSServiceRoleForHealth_Organizations`. Esta función incluye la política gestionada por [Health\$1 OrganizationsServiceRolePolicy](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy) AWS . La política AWS gestionada permite acceder AWS Health a los eventos de salud desde otras AWS cuentas de la organización.
Puede usar la [EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html)operación para crear el rol vinculado al servicio en la cuenta. Sin embargo, si desea deshabilitar esta función, primero debe llamar a la [DisableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html)operación. A continuación, puede eliminar el rol a través de la consola de IAM, la API de IAM o AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte [Uso de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) en la *Guía del usuario de IAM*.
Para obtener más información, consulte [Agregar AWS Health eventos en todas las cuentas](aggregate-events.md).
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
AWS Health no admite funciones de servicio.
# AWS Health ejemplos de políticas basadas en la identidad
De forma predeterminada, los usuarios y los roles de IAM no tienen permiso para crear, ver ni modificar recursos de AWS Health . Tampoco pueden realizar tareas con la API Consola de administración de AWS AWS CLI, o AWS . Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola AWS Health](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Acceso al AWS Health panel de control y a la API AWS Health](#security_iam_id-based-policy-examples-access-dashboard)
+ [Condiciones basadas en recursos y en acciones](#resource-action-based-conditions)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS Health recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola AWS Health
Para acceder a la AWS Health consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS Health recursos de su AWS cuenta. Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política.
Para garantizar que esas entidades puedan seguir utilizando la AWS Health consola, puede adjuntar la siguiente política AWS gestionada: [https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess).
La política de `AWSHealthFullAccess` concede a una entidad acceso completo a lo siguiente:
+ Activa o desactiva la función de visualización de la AWS Health organización para todas las cuentas de una AWS organización
+ El AWS Health panel de control de la AWS Health consola
+ AWS Health Operaciones y notificaciones de la API
+ Consulta la información sobre las cuentas que forman parte de tu AWS organización
+ Consulte las unidades organizativas (OU) de la cuenta de administración
**Example : AWSHealthFullAccess**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
```
**nota**
También puede usar la política `Health_OrganizationsServiceRolePolicy` AWS administrada para ver los eventos de otras cuentas de su organización. AWS Health Para obtener más información, consulte [Uso de funciones vinculadas a servicios para AWS Health](using-service-linked-roles.md).
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*.
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Acceso al AWS Health panel de control y a la API AWS Health
El AWS Health panel de control está disponible para todas AWS las cuentas. La AWS Health API solo está disponible para cuentas con un plan AWS Business Support\$1, AWS Enterprise Support o AWS Unified Operations. Para obtener más información, consulte [Soporte](https://aws.amazon.com/premiumsupport/).
Puede usar IAM para crear entidades (usuarios, grupos o roles) y, a continuación, conceder a esas entidades permisos para acceder al AWS Health panel de control y a la API. AWS Health
De forma predeterminada, los usuarios de IAM no tienen acceso al AWS Health panel de control ni a la AWS Health API. Para dar acceso a los usuarios a la AWS Health información de su cuenta, debe adjuntar las políticas de IAM a un único usuario, un grupo de usuarios o un rol. Para obtener más información, consulte [Identidades (usuarios, grupos y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e [Información general sobre las políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html).
Después de crear los usuarios de IAM, puede asignarles contraseñas. Luego, pueden iniciar sesión en tu cuenta y ver la AWS Health información mediante una página de inicio de sesión específica de la cuenta. Para obtener más información, consulte [Cómo inician sesión los usuarios en la cuenta](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).
**nota**
Un usuario de IAM con permisos para ver el AWS Health panel de control tiene acceso de solo lectura a la información de salud en todos los AWS servicios de la cuenta, que pueden incluir, entre otros, identificadores de AWS recursos como los ID de instancia de Amazon EC2, las direcciones IP de las instancias EC2 y las notificaciones de seguridad generales.
Por ejemplo, si una política de IAM concede acceso únicamente al AWS Health Dashboard y a la AWS Health API, el usuario o rol al que se aplica la política puede acceder a toda la información publicada sobre los AWS servicios y los recursos relacionados, incluso si otras políticas de IAM no permiten ese acceso.
Puedes usar dos grupos de APIs for. AWS Health
+ Cuentas individuales: puede utilizar operaciones como [DescribeEvents](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEvents.html), por ejemplo, [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)obtener información sobre AWS Health los eventos de su cuenta.
+ Cuenta de organización: puede utilizar operaciones como [DescribeEventsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventsForOrganization.html), por ejemplo, [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html)obtener información sobre AWS Health eventos para las cuentas que forman parte de su organización.
Para obtener más información sobre las operaciones de la API disponibles, consulte la [Referencia de la API de AWS Health](https://docs.aws.amazon.com/health/latest/APIReference/).
### Acciones individuales
Puede establecer el elemento `Action` de una política de IAM en `health:Describe*`. Esto permite acceder al AWS Health panel de control y AWS Health. AWS Health admite el control de acceso a los eventos en función del servicio `eventTypeCode` y.
#### Describir el acceso
Esta declaración de política otorga acceso al AWS Health Dashboard y a cualquiera de las operaciones de la `Describe*` AWS Health API. Por ejemplo, un usuario de IAM con esta política puede acceder al AWS Health panel de control en la operación de AWS Health `DescribeEvents` API Consola de administración de AWS y llamar a la misma.
**Example : describir el acceso**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
}]
}
```
#### Denegar el acceso
Esta declaración de política deniega el acceso al AWS Health Dashboard y a la AWS Health API. Un usuario de IAM con esta política no puede ver el AWS Health panel de control ni realizar ninguna de las operaciones de la AWS Health API. Consola de administración de AWS
**Example : denegar el acceso**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"health:*"
],
"Resource": "*"
}]
}
```
### Vista organizativa
Si quieres habilitar la vista organizacional para AWS Health, debes permitir el acceso a las AWS Organizations acciones AWS Health y.
El elemento `Action` de una política de IAM debe incluir los siguientes permisos:
+ `iam:CreateServiceLinkedRole`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:DescribeAccount`
+ `organizations:DisableAWSServiceAccess`
+ `organizations:ListAccounts`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListParents`
Para conocer los permisos exactos necesarios para cada una de ellas APIs, consulte [las acciones definidas por AWS Health APIs y las notificaciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions) en la *Guía del usuario de IAM*.
**nota**
Debe utilizar las credenciales de la cuenta de administración para que una organización pueda acceder a la AWS Health APIs . AWS Organizations Para obtener más información, consulte [Agregar AWS Health eventos en todas las cuentas](aggregate-events.md).
#### Permita el acceso a la vista de la AWS Health organización
Esta declaración de política otorga acceso a todas AWS Health las AWS Organizations acciones que necesites para la función de visualización de la organización.
**Example : Permitir el acceso a la vista de la AWS Health organización**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
#### Denegar el acceso a la vista de la AWS Health organización
Esta declaración de política deniega el acceso a AWS Organizations las acciones, pero permite el acceso a AWS Health las acciones de una cuenta individual.
**Example : Denegar el acceso a la vista de la AWS Health organización**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Deny",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
**nota**
Si el usuario o el grupo al que quieres conceder permisos ya tiene una política de IAM, puedes añadir la declaración AWS Health de política específica a esa política.
## Condiciones basadas en recursos y en acciones
AWS Health admite [las condiciones de IAM para las operaciones](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) de API [ DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)y [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)de IAM. Puede usar condiciones basadas en recursos y acciones para restringir los eventos que la AWS Health API envía a un usuario, grupo o rol.
Para ello, actualice el bloque `Condition` de la política de IAM o establezca el elemento `Resource`. Puedes usar [las condiciones de cadena](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) para restringir el acceso en función de determinados campos de AWS Health eventos.
Puedes usar los siguientes campos al especificar un AWS Health evento en tu política:
+ `eventTypeCode`
+ `service`
**Notas**
Las operaciones [ DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)y la [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API admiten permisos a nivel de recursos. Por ejemplo, puede crear una política para permitir o rechazar eventos específicos de AWS Health .
Las operaciones [ DescribeAffectedEntitiesForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntitiesForOrganization.html)y la [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html)API no admiten permisos a nivel de recursos.
Para obtener más información, consulta [las acciones, los recursos y las claves de condición y las AWS Health APIs notificaciones](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthapisandnotifications.html) en la Referencia de *autorización de servicios*.
**Example : condición basada en acciones**
Esta declaración de política otorga acceso al AWS Health Dashboard y a las operaciones de la AWS Health `Describe*` API, pero deniega el acceso a cualquier AWS Health evento relacionado con Amazon EC2.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"health:service": "EC2"
}
}
}
]
}
```
**Example : condición basada en recursos**
La política siguiente tiene el mismo efecto, pero utiliza el elemento `Resource` en su lugar.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeEventDetails",
"health:DescribeAffectedEntities"
],
"Resource": "arn:aws:health:*::event/EC2/*/*"
}]
}
```
**Example : condición eventTypeCode**
Esta declaración de política otorga acceso al AWS Health panel de control y a las operaciones de la AWS Health `Describe*` API, pero deniega el acceso a cualquier AWS Health evento `eventTypeCode` que coincida`AWS_EC2_*`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringLike": {
"health:eventTypeCode": "AWS_EC2_*"
}
}
}
]
}
```
**importante**
Si llamas a las [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)operaciones [DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)y no tienes permiso para acceder al AWS Health evento, aparecerá el `AccessDeniedException` error. Para obtener más información, consulte [Solución de problemas AWS Health de identidad y acceso](security_iam_troubleshoot.md).
# Solución de problemas AWS Health de identidad y acceso
Utilice la siguiente información para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con una AWS Health IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS Health](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero ver mis claves de acceso](#security_iam_troubleshoot-access-keys)
+ [Soy administrador y quiero permitir que otras personas accedan AWS Health](#security_iam_troubleshoot-admin-delegate)
+ [Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis AWS Health recursos](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en AWS Health
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le facilitó el nombre de usuario y la contraseña.
El `AccessDeniedException` error aparece cuando un usuario no tiene permiso para usar el AWS Health panel de control o las operaciones de la AWS Health API.
En este caso, el administrador del usuario debe actualizar la política para permitir su acceso.
La AWS Health API requiere un plan AWS Business Support\$1, AWS Enterprise Support o AWS Unified Operations de [AWS Support](https://aws.amazon.com/premiumsupport/). Si llamas a la AWS Health API desde una cuenta que no tiene un plan AWS Business Support\$1, AWS Enterprise Support o AWS Unified Operations, se devuelve el siguiente código de error:`SubscriptionRequiredException`.
## No estoy autorizado a realizar iam: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS Health.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AWS Health. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero ver mis claves de acceso
Después de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso en cualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave de acceso secreta, debe crear un nuevo par de claves de acceso.
Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo, `AKIAIOSFODNN7EXAMPLE`) y una clave de acceso secreta (por ejemplo, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como un nombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con el mismo nivel de seguridad que para el nombre de usuario y la contraseña.
**importante**
No proporcione las claves de acceso a terceros, ni siquiera para que lo ayuden a [buscar el ID de usuario canónico](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). De este modo, podrías dar a alguien acceso permanente a tu Cuenta de AWS.
Cuando crea un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave de acceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento de su creación. Si pierde la clave de acceso secreta, debe agregar nuevas claves de acceso a su usuario de IAM. Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par de claves antes de crear una nueva. Para consultar las instrucciones, consulte [Administración de claves de acceso](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) en la *Guía del usuario de IAM*.
## Soy administrador y quiero permitir que otras personas accedan AWS Health
Para permitir el acceso de otras personas AWS Health, debes conceder permiso a las personas o aplicaciones que necesitan acceso. Si usa AWS IAM Identity Center para administrar las personas y las aplicaciones, debe asignar conjuntos de permisos a los usuarios o grupos para definir su nivel de acceso. Los conjuntos de permisos crean políticas de IAM y las asignan a los roles de IAM asociados a la persona o aplicación de forma automática. Para obtener más información, consulte la sección [Conjuntos de permisos](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) en la *Guía del usuario de AWS IAM Identity Center *.
Si no utiliza IAM Identity Center, debe crear entidades de IAM (usuarios o roles) para las personas o aplicaciones que necesitan acceso. A continuación, debe asociar una política a la entidad que le conceda los permisos correctos en AWS Health. Una vez concedidos los permisos, proporcione las credenciales al usuario o al desarrollador de la aplicación. Utilizarán esas credenciales para acceder a AWS. Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulte [Identidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
## Quiero permitir que personas ajenas a mi AWS cuenta accedan a mis AWS Health recursos
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si AWS Health es compatible con estas funciones, consulte. [¿Cómo AWS Health funciona con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Uso de funciones vinculadas a servicios para AWS Health
AWS Health [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS Health Los roles vinculados a servicios están predefinidos por AWS Health e incluyen todos los permisos que el servicio requiere para llamar a otros Servicios de AWS en su nombre.
Puede utilizar un rol vinculado a un servicio para configurarlo y evitar tener que añadir manualmente AWS Health los permisos necesarios. AWS Health define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS Health puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.
## Permisos de roles vinculados al servicio para AWS Health
AWS Health tiene dos funciones vinculadas al servicio:
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForHealth_Organizations](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForHealth_Organizations)— Este rol confía en que AWS Health (`health.amazonaws.com`) asumirá el rol al que accedes Servicios de AWS por ti. Esta función incluye la política `Health_OrganizationsServiceRolePolicy` AWS gestionada.
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForHealth_EventProcessor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForHealth_EventProcessor)— Este rol confía en que el director del AWS Health servicio (`event-processor.health.amazonaws.com`) asumirá el rol por usted. Esta función incluye la política `AWSHealth_EventProcessorServiceRolePolicy` AWS gestionada. El director del servicio utiliza la función para crear una regla EventBridge gestionada por Amazon para la detección y respuesta a AWS incidentes. Esta regla es la infraestructura que necesitas Cuenta de AWS para enviar la información sobre los cambios de estado de alarma desde tu cuenta a AWS Health.
Para obtener más información sobre las políticas AWS administradas, consulte[AWS políticas gestionadas para AWS Health](security-iam-awsmanpol.md).
## Crear un rol vinculado a un servicio para AWS Health
No necesita crear un rol vinculado a un servicio AWSServiceRoleForHealth\$1Organizations. Al llamar a la [EnableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_EnableHealthServiceAccessForOrganization.html)operación, AWS Health crea este rol vinculado al servicio en la cuenta por usted.
Usted debe crear manualmente el rol vinculado al servicio AWSServiceRoleForHealth\$1EventProcessor en su cuenta. Para obtener más información, consulte [Creating a service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*.
## Edición de un rol vinculado a un servicio para AWS Health
AWS Health no permite editar el rol vinculado al servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para AWS Health
Para eliminar el AWSServiceRoleForHealth\$1Organizations rol, primero debe llamar a la [DisableHealthServiceAccessForOrganization](https://docs.aws.amazon.com//health/latest/APIReference/API_DisableHealthServiceAccessForOrganization.html)operación. A continuación, puede eliminar el rol a través de la consola de IAM, la API de IAM o AWS Command Line Interface ()AWS CLI.
Para eliminar el AWSServiceRoleForHealth\$1EventProcessor rol, ponte en contacto con ellos AWS Support y pídeles que excluyan tus cargas de trabajo del área de Detección y Respuesta a AWS Incidentes. Una vez finalizado este proceso, puede eliminar cualquiera de los roles a través de la consola de IAM, la API de IAM o AWS CLI.
### Información relacionada
Para obtener más información, consulte [Uso de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) en la *Guía del usuario de IAM*.
# AWS políticas gestionadas para AWS Health
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS Health tiene las siguientes políticas gestionadas.
**Contents**
+ [AWS política gestionada: AWSHealth\$1EventProcessorServiceRolePolicy](#security-iam-awsmanpol-Health_EventProcessorServiceRolePolicy)
+ [AWS política gestionada: Health\$1OrganizationsServiceRolePolicy](#security-iam-awsmanpol-Health_OrganizationsServiceRolePolicy)
+ [AWS política gestionada: AWSHealthFullAccess](#security-iam-awsmanpol-AWSHealthFullAccess)
+ [AWS Health actualizaciones de las políticas AWS gestionadas](#security-iam-awsmanpol-updates)
## AWS política gestionada: AWSHealth\$1EventProcessorServiceRolePolicy
AWS Health utiliza la política [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_EventProcessorServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_EventProcessorServiceRolePolicy$jsonEditor) AWS gestionada. Esta política administrada se adjunta al rol vinculado al servicio de `AWSServiceRoleForHealth_EventProcessor`. La política permite al rol vinculado al servicio completar acciones en su lugar. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte [Uso de funciones vinculadas a servicios para AWS Health](using-service-linked-roles.md).
La política gestionada tiene los siguientes permisos para permitir el acceso AWS Health a la EventBridge regla de Amazon para la detección y respuesta a AWS incidentes.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `events`— Describe y elimina EventBridge las reglas, y describe y actualiza los objetivos de esas reglas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Condition": {
"StringEquals": {"events:ManagedBy": "event-processor.health.amazonaws.com"}
},
"Action": [
"events:DeleteRule",
"events:RemoveTargets",
"events:PutTargets",
"events:PutRule"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"events:ListTargetsByRule",
"events:DescribeRule"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
Para obtener una lista de los cambios en la política, consulte [AWS Health actualizaciones de las políticas AWS gestionadas](#security-iam-awsmanpol-updates).
## AWS política gestionada: Health\$1OrganizationsServiceRolePolicy
AWS Health utiliza la política [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/Health_OrganizationsServiceRolePolicy$jsonEditor) AWS gestionada. Esta política administrada se adjunta al rol vinculado al servicio de `AWSServiceRoleForHealth_Organizations`. La política permite al rol vinculado al servicio completar acciones en su lugar. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte [Uso de funciones vinculadas a servicios para AWS Health](using-service-linked-roles.md).
Esta política otorga permisos que permiten acceder AWS Health a los AWS Organizations detalles necesarios para la vista Organizacional de Salud.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `organizations`— Describe las cuentas de AWS Organizations Organizations y las Servicios de AWS que se pueden usar con ellas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
```
------
Para obtener una lista de los cambios en la política, consulte [AWS Health actualizaciones de las políticas AWS gestionadas](#security-iam-awsmanpol-updates).
## AWS política gestionada: AWSHealthFullAccess
AWS Health utiliza la política [https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess$jsonEditor](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess$jsonEditor) AWS gestionada. La política concede a las entidades (usuarios o roles de IAM) acceso a la AWS Health consola. Para obtener más información, consulte [Uso de la consola AWS Health](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console).
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `organizations`— Activa o desactiva la función de visualización de la AWS Health organización para todas las cuentas de una AWS organización y consulta las unidades organizativas (OU) de la cuenta de administración
+ `health`— Acceso a las operaciones y notificaciones de la AWS Health API
+ `iam`: crea un rol de IAM que está vinculado a un servicio de AWS Health
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OrganizationWriteAccess",
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Sid": "HealthFullAccess",
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Sid": "ServiceLinkAccess",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
```
------
Para obtener una lista de los cambios en la política, consulte [AWS Health actualizaciones de las políticas AWS gestionadas](#security-iam-awsmanpol-updates).
## AWS Health actualizaciones de las políticas AWS gestionadas
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas AWS Health desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial de documentos para AWS Health](doc-history.md).
En la siguiente tabla se describen las actualizaciones importantes de las políticas AWS Health administradas desde el 13 de enero de 2022.
**AWS Health**
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWS política gestionada: AWSHealthFullAccess](#security-iam-awsmanpol-AWSHealthFullAccess): actualización de una política existente | AWS Health ha ampliado la AWSHealth FullAccess política a todas AWS GovCloud (US) Regions las regiones de China. | 16 de octubre de 2023 |
| [AWS política gestionada: Health\$1OrganizationsServiceRolePolicy](#security-iam-awsmanpol-Health_OrganizationsServiceRolePolicy): actualización de una política existente | AWS Health agregó nuevas AWS Organizations acciones para permitir que la función vinculada al servicio describa las cuentas y los AWS servicios con los que se puede utilizar. AWS Organizations | 19 de julio de 2023 |
| Registro de cambios publicado | Registro de cambios de las políticas AWS Health gestionadas. | 13 de enero de 2023 |
# Inicio de sesión y supervisión AWS Health
La supervisión es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de AWS Health AWS las demás soluciones. AWS proporciona las siguientes herramientas de supervisión para observar AWS Health, informar cuando algo va mal y tomar las medidas necesarias:
+ *Amazon CloudWatch* monitorea tus AWS recursos y las aplicaciones en las que AWS ejecutas en tiempo real. Puede recopilar métricas y realizar un seguimiento de las métricas, crear paneles personalizados y definir alarmas que le advierten o que toman medidas cuando una métrica determinada alcanza el umbral que se especifique. Por ejemplo, puede CloudWatch hacer un seguimiento del uso de la CPU u otras métricas de sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) y lanzar nuevas instancias automáticamente cuando sea necesario. Para obtener más información, consulta la [Guía del CloudWatch usuario de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon EventBridge* ofrece un near-real-time flujo de eventos del sistema que describen los cambios en AWS los recursos. EventBridge permite la computación automatizada basada en eventos. Puede escribir reglas que vigilen determinados eventos y activen acciones automatizadas en otros servicios de AWS cuando se produzcan estos eventos. Para obtener más información, consulte [Monitorización de eventos AWS Health con Amazon EventBridge](cloudwatch-events-health.md).
+ *AWS CloudTrail*captura las llamadas a la API y los eventos relacionados realizados por su AWS cuenta o en su nombre y envía los archivos de registro a un depósito de Amazon Simple Storage Service (Amazon S3) que especifique. Puede identificar qué usuarios y cuentas llamaron AWS, la dirección IP de origen desde la que se realizaron las llamadas y cuándo se produjeron. Para obtener más información, consulte la [Guía del usuario de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Para obtener más información, consulte [Supervisión AWS Health](monitoring-logging-health-events.md).
# Validación de conformidad para AWS Health
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia en AWS Health
La infraestructura AWS global se basa en AWS regiones y zonas de disponibilidad. AWS Las regiones proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
AWS Health los eventos se almacenan y replican en varias zonas de disponibilidad. Este enfoque garantiza que pueda acceder a ellos desde las operaciones de la AWS Health API Panel de estado o desde ellas. Puede ver AWS Health los eventos hasta 90 días después de que se produzcan.
Para obtener más información sobre AWS las regiones y las zonas de disponibilidad, consulte [Infraestructura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Seguridad de la infraestructura en AWS Health
Como servicio gestionado, AWS Health está protegido por los procedimientos de seguridad de red AWS global que se describen en el documento técnico [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Utiliza las llamadas a la API AWS publicadas para acceder a AWS Health través de la red. Los clientes deben ser compatibles con la seguridad de la capa de transporte (TLS) 1.0 o una versión posterior. Recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
# Análisis de configuración y vulnerabilidad en AWS Health
La configuración y los controles de TI son una responsabilidad compartida entre usted AWS y usted, nuestro cliente. Para obtener más información, consulte el [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/).
# Mejores prácticas de seguridad para AWS Health
Consulte las siguientes prácticas recomendadas para trabajar con AWS Health.
## Otorgue AWS Health a los usuarios los permisos mínimos posibles
Para seguir el principio de privilegios mínimos, utilice el conjunto mínimo de permisos de la política de acceso para los usuarios y los grupos de . Por ejemplo, puede permitir que un usuario AWS Identity and Access Management (de IAM) acceda al Panel de estado. Sin embargo, puede no permitir que ese mismo usuario habilite o deshabilite el acceso a AWS Organizations.
Para obtener más información, consulte [AWS Health ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md).
## Vea el Panel de estado
Panel de estado Compruébelo con frecuencia para identificar los eventos que puedan afectar a su cuenta o a sus aplicaciones. Así, puede recibir una notificación de evento relacionada con sus recursos, por ejemplo, una instancia Amazon Elastic Compute Cloud (Amazon EC2) que debe actualizarse.
Para obtener más información, consulte [Cómo empezar con tu AWS Health panel de control](getting-started-health-dashboard.md).
## Intégrelo AWS Health con Amazon Chime o Slack
Puede integrarlo AWS Health con sus herramientas de chat. Esta integración te permite a ti y a tu equipo recibir notificaciones sobre AWS Health los eventos en tiempo real. Para obtener más información, consulta las [AWS Health herramientas](https://github.com/aws/aws-health-tools) en GitHub.
## Supervise los AWS Health eventos
Puede integrarse AWS Health con Amazon CloudWatch Events para crear reglas para eventos específicos. Cuando CloudWatch Events detecta un evento que coincide con su regla, se le notifica y, a continuación, puede tomar medidas. CloudWatch Los eventos y eventos son específicos de una región, por lo que debe configurar este servicio en la región en la que reside su aplicación o infraestructura.
En algunos casos, no se puede determinar la región del AWS Health evento. Si esto ocurre, el evento aparece en la región Este de EE. UU. (Norte de Virginia) de forma predeterminada. Puedes configurar CloudWatch eventos en esta región para asegurarte de supervisarlos.
Para obtener más información, consulte [Monitorización de eventos AWS Health con Amazon EventBridge](cloudwatch-events-health.md).