Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# ¿Cómo AWS IoT SiteWise funciona con IAM
Antes de usar AWS Identity and Access Management (IAM) para administrar el acceso AWS IoT SiteWise, debe comprender con qué funciones de IAM está disponible. AWS IoT SiteWise
| Característica de IAM | ¿Compatible con? AWS IoT SiteWise |
| --- | --- |
| [Políticas basadas en identidad con permisos de nivel de recursos](security_iam_service-with-iam-id-based-policies.md) | Sí |
| [Acciones de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions) | Sí |
| [Recursos de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources) | Sí |
| [Claves de condición de política](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sí |
| Políticas basadas en recursos | No |
| Listas de control de acceso (ACLs) | No |
| [Autorización basada en etiquetas (ABAC)](security_iam_service-with-iam-tags.md) | Sí |
| [Credenciales temporales](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds) | Sí |
| [Sesiones de acceso directo (FAS) ](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions) | Sí |
| [Roles vinculados al servicio](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Sí |
| [Roles de servicio](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Sí |
Para obtener una visión general de cómo AWS IoT SiteWise funcionan otros AWS servicios con IAM, consulte los [AWS servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.
**Contents**
+ [AWS IoT SiteWise Funciones de IAM](security_iam_service-with-iam-roles.md)
+ [Utilice credenciales temporales con AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)
+ [Sesiones de acceso directo (FAS) para AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)
+ [Roles vinculados a servicios](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)
+ [Roles de servicio](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service)
+ [Elija un rol de IAM en AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-choose)
+ [Autorización basada en AWS IoT SiteWise etiquetas](security_iam_service-with-iam-tags.md)
+ [AWS IoT SiteWise políticas basadas en la identidad](security_iam_service-with-iam-id-based-policies.md)
+ [Acciones de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)
+ [BatchPutAssetPropertyValue autorización](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action)
+ [Recursos de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)
+ [Claves de condición de políticas](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Ejemplos](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-examples)
+ [AWS IoT SiteWise ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)
+ [Prácticas recomendadas relativas a políticas](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)
+ [Utilice la consola AWS IoT SiteWise](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-own-permissions)
+ [Concesión de permisos para que los usuarios ingieran datos en activos de una jerarquía](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Vea AWS IoT SiteWise los activos en función de las etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)
+ [Administre el acceso mediante políticas en AWS IoT SiteWise](security_iam_access-manage.md)
+ [Políticas basadas en identidades](security_iam_access-manage.md#security_iam_access-manage-id-based-policies)
+ [Políticas basadas en recursos](security_iam_access-manage.md#security_iam_access-manage-resource-based-policies)
+ [Listas de control de acceso () ACLs](security_iam_access-manage.md#security_iam_access-manage-acl)
+ [Otros tipos de políticas](security_iam_access-manage.md#security_iam_access-manage-other-policies)
+ [Varios tipos de políticas](security_iam_access-manage.md#security_iam_access-manage-multiple-policies)
# AWS IoT SiteWise Funciones de IAM
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de la cuenta de AWS que dispone de permisos específicos.
## Utilice credenciales temporales con AWS IoT SiteWise
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS STS , como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS IoT SiteWise admite el uso de credenciales temporales.
SiteWise Monitor permite a los usuarios federados acceder a los portales. Los usuarios del portal se autentican con sus credenciales del Centro de identidades de IAM o IAM.
**importante**
Los usuarios o roles deben tener el permiso de `iotsitewise:DescribePortal` para iniciar sesión en el portal.
Cuando un usuario inicia sesión en un portal, SiteWise Monitor genera una política de sesión que proporciona los siguientes permisos:
+ Acceso de solo lectura a los activos y a los datos de los activos de AWS IoT SiteWise su cuenta a los que proporciona acceso la función de ese portal.
+ Acceso a proyectos en ese portal para los que el usuario tiene acceso de administrador (propietario del proyecto) o de solo lectura (lector del proyecto).
Para obtener más información acerca de los permisos de usuario federado del portal, consulte [Utilice los roles de servicio para AWS IoT SiteWise Monitor](monitor-service-role.md).
## Sesiones de acceso directo (FAS) para AWS IoT SiteWise
**Admite sesiones de acceso directo (FAS):** sí
Las sesiones de acceso directo (FAS) utilizan los permisos de la persona principal que realiza la llamada Servicio de AWS, junto con la solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Roles vinculados a servicios
Las [funciones vinculadas al servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Las funciones vinculadas al servicio aparecen en tu AWS cuenta y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
AWS IoT SiteWise admite funciones vinculadas al servicio. Para obtener más información acerca de cómo crear o administrar roles vinculados a servicios de AWS IoT SiteWise , consulte [Utilice funciones vinculadas al servicio para AWS IoT SiteWise](using-service-linked-roles.md).
## Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su AWS cuenta y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
AWS IoT SiteWise utiliza un rol de servicio para permitir a los usuarios del portal SiteWise Monitor acceder a algunos de sus AWS IoT SiteWise recursos en su nombre. Para obtener más información, consulte [Utilice los roles de servicio para AWS IoT SiteWise Monitor](monitor-service-role.md).
Debe disponer de los permisos necesarios para poder crear modelos de AWS IoT Events alarma en él AWS IoT SiteWise. Para obtener más información, consulte [Configure los permisos para las alarmas de eventos en AWS IoT SiteWise](alarms-iam-permissions.md).
## Elija un rol de IAM en AWS IoT SiteWise
Al crear un `portal` recurso en AWS IoT SiteWise, debe elegir un rol que permita a los usuarios federados de su portal SiteWise Monitor acceder AWS IoT SiteWise en su nombre. Si ya ha creado un rol de servicio, le AWS IoT SiteWise proporciona una lista de roles entre los que puede elegir. De lo contrario, puede crear un rol con los permisos necesarios al crear un portal. Es importante elegir un rol que permita acceder a los activos y a los datos de activos. Para obtener más información, consulte [Utilice los roles de servicio para AWS IoT SiteWise Monitor](monitor-service-role.md).
# Autorización basada en AWS IoT SiteWise etiquetas
Puedes adjuntar etiquetas a AWS IoT SiteWise los recursos o pasarles etiquetas en una solicitud AWS IoT SiteWise. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información acerca del etiquetado de recursos de AWS IoT SiteWise , consulte [Etiquete sus AWS IoT SiteWise recursos](tag-resources.md).
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Vea AWS IoT SiteWise los activos en función de las etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags).
# AWS IoT SiteWise políticas basadas en la identidad
Las políticas de IAM le permiten controlar quién puede hacer qué en AWS IoT SiteWise. Puede decidir qué acciones están permitidas o no y establecer condiciones específicas para estas acciones. Por ejemplo, puede establecer reglas sobre quién puede ver o cambiar la información AWS IoT SiteWise. AWS IoT SiteWise admite acciones, recursos y claves de condición específicos. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
## Acciones de políticas
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas AWS IoT SiteWise utilizan el siguiente prefijo antes de la acción:`iotsitewise:`. Por ejemplo, para conceder a alguien permiso para cargar datos de propiedades de activos AWS IoT SiteWise con la operación de la `BatchPutAssetPropertyValue` API, debes incluir la `iotsitewise:BatchPutAssetPropertyValue` acción en su política. Las declaraciones de política deben incluir un `NotAction` elemento `Action` o. AWS IoT SiteWise define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones de en una única instrucción, sepárelas con comas del siguiente modo.
```
"Action": [
"iotsitewise:action1",
"iotsitewise:action2"
]
```
Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción.
```
"Action": "iotsitewise:Describe*"
```
Para ver una lista de AWS IoT SiteWise acciones, consulte [las acciones definidas AWS IoT SiteWise en la](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) *Guía del usuario de IAM*.
### BatchPutAssetPropertyValue autorización
AWS IoT SiteWise autoriza el acceso a la [BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html)acción de una manera inusual. En la mayoría de las acciones, al permitir o denegar acceso, dicha acción devuelve un error si no se conceden permisos. Con `BatchPutAssetPropertyValue` puede enviar varias entradas de datos a diferentes activos y propiedades de activos en una sola solicitud de la API. AWS IoT SiteWise autoriza cada entrada de datos de forma independiente. Para cualquier entrada individual que no supere la autorización de la solicitud, AWS IoT SiteWise incluye un error `AccessDeniedException` en la lista de errores devuelta. AWS IoT SiteWise recibe los datos de cualquier entrada que autorice y sea correcta, incluso si otra entrada de la misma solicitud no es válida.
**importante**
Antes de ingerir datos a un flujo de datos, realice lo siguiente:
Autorice el recurso `time-series` si utiliza un alias de propiedad para identificar el flujo de datos.
Autorice el recurso `asset` si utiliza un ID de activo para identificar el activo que contiene la propiedad de activo asociada.
## Recursos de políticas
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Cada declaración de política de IAM se aplica a los recursos que especifique mediante su ARNs uso. Un ARN tiene la siguiente sintaxis general.
```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```
Para obtener más información sobre el formato de ARNs, consulte [Identificar AWS los recursos con los nombres de los recursos de Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Por ejemplo, para especificar el activo con el ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` en la instrucción, utilice el siguiente ARN.
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```
Para especificar todos los flujos de datos que pertenecen a una cuenta específica, utilice el carácter comodín (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```
Para especificar todos los activos que pertenecen a una cuenta específica, utilice el carácter comodín (\$1):
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```
Algunas AWS IoT SiteWise acciones, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Para especificar varios recursos en una sola sentencia, sepárelos ARNs con comas.
```
"Resource": [
"resource1",
"resource2"
]
```
Para ver una lista de los tipos de AWS IoT SiteWise recursos y sus correspondientes ARNs, consulte los [tipos de recursos definidos AWS IoT SiteWise en la](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies) Guía del *usuario de IAM*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Claves de condición de políticas
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
**importante**
Muchas claves de condición son específicas de un recurso y algunas acciones de API utilizan varios recursos. Si escribe una instrucción de política con una clave de condición, use el elemento `Resource` de la instrucción para especificar el recurso en el que se aplica la clave de condición. Si no lo hace, la política puede impedir que los usuarios ejecuten la acción, ya que la comprobación de la condición dará un error en el caso de los recursos en los que la clave de la condición no se aplica. Si no quiere especificar un recurso o si ha escrito el elemento `Action` de la política para que contenga varias acciones de API, debe utilizar el tipo de condición `...IfExists` para asegurarse de que no se tenga en cuenta la clave de condición en el caso de los recursos que no la utilicen. [Para obtener más información, consulte... IfExists ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists)condiciones de la *Guía del usuario de IAM*.
AWS IoT SiteWise define su propio conjunto de claves de condición y también admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
**AWS IoT SiteWise claves de condición**
| Clave de condición | Description (Descripción) | Tipos |
| --- | --- | --- |
| iotsitewise:isAssociatedWithAssetProperty | Si los flujos de datos están asociados a una propiedad de activo. Utilice esta clave de condición para definir permisos basados en la existencia de una propiedad de activo asociada para flujos de datos. Ejemplo de valor: `true` | Cadena |
| iotsitewise:assetHierarchyPath | La ruta jerárquica del activo, que es una cadena de activos separados IDs cada uno por una barra diagonal. Utilice esta clave de condición para definir permisos basados en un subconjunto de la jerarquía de todos los activos de la cuenta. Ejemplo de valor: `/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | Cadena |
| iotsitewise:propertyId | ID de una propiedad de activo. Utilice esta clave de condición para definir permisos basados en una propiedad especifica de un modelo de activos. Esta clave de condición se aplica a todos los activos de ese modelo. Ejemplo de valor: `a1b2c3d4-5678-90ab-cdef-33333EXAMPLE` | Cadena |
| iotsitewise:childAssetId | ID de un activo asociado como secundario a otro activo. Utilice esta clave de condición para definir permisos basados en activos secundarios. Para definir permisos basados en activos principales, utilice la sección de activos de una instrucción de política. Ejemplo de valor: `a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | Cadena |
| iotsitewise:iam | El ARN de una identidad de IAM al enumerar las políticas de acceso. Utilice esta clave de condición para definir permisos de política de acceso para una identidad de IAM. Ejemplo de valor: `arn:aws:iam::123456789012:user/JohnDoe` | Cadena, null |
| iotsitewise:propertyAlias | El alias que identifica una propiedad de activo o un flujo de datos. Utilice esta clave de condición para definir permisos basados en el alias. | Cadena |
| iotsitewise:user | El ID de un usuario del Centro de identidades de IAM al enumerar las políticas de acceso. Utilice esta clave de condición para definir los permisos de la política de acceso para un usuario del Centro de identidades de IAM. Ejemplo de valor: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE` | Cadena, null |
| iotsitewise:group | El ID de un grupo del Centro de identidades de IAM al enumerar las políticas de acceso. Utilice esta clave de condición para definir los permisos de la política de acceso para un grupo del Centro de identidades de IAM. Ejemplo de valor: `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE` | Cadena, null |
| iotsitewise:portal | ID de un portal en una política de acceso. Utilice esta clave de condición para definir permisos de política de acceso basados en un portal. Ejemplo de valor: `a1b2c3d4-5678-90ab-cdef-77777EXAMPLE` | Cadena, null |
| iotsitewise:project | ID de un proyecto en una política de acceso o el ID de un proyecto para un panel. Utilice esta clave de condición para definir permisos de panel o política de acceso basados en un proyecto. Ejemplo de valor: `a1b2c3d4-5678-90ab-cdef-88888EXAMPLE` | Cadena, null |
Para saber con qué acciones y recursos puede utilizar una clave condicionada, consulte [Acciones definidas por AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Ejemplos
Para ver ejemplos de políticas AWS IoT SiteWise basadas en la identidad, consulte. [AWS IoT SiteWise ejemplos de políticas basadas en la identidad](security_iam_id-based-policy-examples.md)
# AWS IoT SiteWise ejemplos de políticas basadas en la identidad
De forma predeterminada, las entidades (usuarios y roles) no tienen permiso para crear o modificar recursos de AWS IoT SiteWise . Tampoco pueden realizar tareas mediante la Consola de administración de AWS, AWS Command Line Interface (AWS CLI) o la AWS API. Para ajustar los permisos, un administrador AWS Identity and Access Management (IAM) debe hacer lo siguiente:
1. Cree políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos que necesiten.
1. Asocie esas políticas a los usuarios o usuarias o grupos que necesiten esos permisos.
Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas de JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas relativas a políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Utilice la consola AWS IoT SiteWise](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Concesión de permisos para que los usuarios ingieran datos en activos de una jerarquía](#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Vea AWS IoT SiteWise los activos en función de las etiquetas](#security_iam_id-based-policy-examples-view-asset-tags)
## Prácticas recomendadas relativas a políticas
Las políticas basadas en la identidad determinan si alguien puede crear AWS IoT SiteWise recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Utilice la consola AWS IoT SiteWise
Para acceder a la AWS IoT SiteWise consola, necesita un conjunto básico de permisos. Estos permisos te permiten ver y administrar los detalles de los AWS IoT SiteWise recursos de tu AWS cuenta.
Si crea una política demasiado restrictiva, es posible que la consola no funcione como se espera para los usuarios o los roles (entidades) que tengan esa política. Para garantizar que esas entidades puedan seguir utilizando la AWS IoT SiteWise consola, adjúnteles la política [AWSIoTSiteWiseConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/policies/arn:aws:iam::aws:policy/AWSIoTSiteWiseConsoleFullAccess)gestionada o defina permisos equivalentes para esas entidades. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*:
Si las entidades solo utilizan la AWS Command Line Interface (CLI) o la AWS IoT SiteWise API, y no la consola, no necesitan estos permisos mínimos. En ese caso, basta con darles acceso a las acciones específicas que necesitan para sus tareas de la API.
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Concesión de permisos para que los usuarios ingieran datos en activos de una jerarquía
En este ejemplo, desea conceder a un usuario de su AWS cuenta acceso para escribir datos en todas las propiedades de los activos de una jerarquía de activos específica, empezando por el activo raíz. `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` La política concede el permiso `iotsitewise:BatchPutAssetPropertyValue` al usuario. Esta política utiliza la clave de condición `iotsitewise:assetHierarchyPath` para restringir el acceso a los activos cuya ruta de jerarquía coincide con el activo o sus descendientes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutAssetPropertyValuesForHierarchy",
"Effect": "Allow",
"Action": "iotsitewise:BatchPutAssetPropertyValue",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringLike": {
"iotsitewise:assetHierarchyPath": [
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
]
}
}
}
]
}
```
------
## Vea AWS IoT SiteWise los activos en función de las etiquetas
Utilice las condiciones de su política basada en la identidad para controlar el acceso a AWS IoT SiteWise los recursos en función de las etiquetas. En este ejemplo se muestra cómo crear una política que permita visualizar un activo. Sin embargo, los activos solo se conceden si la etiqueta del activo `Owner` tiene el valor del nombre de usuario de dicho usuario. Esta política también concede permiso para llevar a cabo esta acción en la consola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAllAssets",
"Effect": "Allow",
"Action": [
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets"
],
"Resource": "*"
},
{
"Sid": "DescribeAssetIfOwner",
"Effect": "Allow",
"Action": "iotsitewise:DescribeAsset",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Asocie esta política a los usuarios de su cuenta. Si un usuario llamado `richard-roe` intenta ver un AWS IoT SiteWise activo, el activo debe estar etiquetado `Owner=richard-roe` o. `owner=richard-roe` De lo contrario, se deniega el acceso a Richard. Los nombres de claves de etiquetas de condición no distinguen entre mayúsculas y minúsculas. Por tanto, `Owner` coincide tanto con `Owner` como con `owner`. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
# Administre el acceso mediante políticas en AWS IoT SiteWise
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
## Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
## Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
## Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
## Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
## Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.