Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Usuarios, grupos y roles de IAM Los usuarios, grupos y roles de IAM son los mecanismos estándar de administración de identidades y autenticación en AWS. Puede utilizarlos para conectarse a interfaces AWS IoT HTTP mediante el AWS SDK y AWS CLI. Las funciones de IAM también te permiten acceder AWS IoT a otros AWS recursos de tu cuenta en tu nombre. Por ejemplo, si desea que un dispositivo publique su estado en una tabla de DynamoDB, las funciones de IAM AWS IoT le permiten interactuar con Amazon DynamoDB. Para obtener más información, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html). En el caso de las conexiones de un intermediario de mensajes a través de HTTP, AWS IoT autentica a los usuarios, grupos y roles mediante el proceso de firma de la versión 4 de Signature. Para obtener más información, consulte [Firmar solicitudes AWS de API](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html). Al autenticar solicitudes mediante parámetros de consulta con [credenciales de seguridad temporales proporcionadas por AWS Security Token Service (AWS STS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html), no las incluya `X-Amz-Security-Token` en la cadena de consulta canónica al calcular la firma. En su lugar, `X-Amz-Security-Token` añádala como parámetro de consulta una vez calculada la firma. Esto difiere de otros AWS servicios que requieren que el token de seguridad forme parte de la solicitud canónica. Para obtener más información, consulta [Firmar solicitudes con credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv-create-signed-request.html#temporary-security-credentials). **nota** Los SDK AWS para dispositivos de IoT gestionan este comportamiento de firma automáticamente. Si vas a implementar un código de firma personalizado, consulta la fuente del SDK como referencia: [AWS SDK de dispositivos de IoT para Python v2](https://github.com/aws/aws-iot-device-sdk-python-v2/blob/main/awsiot/mqtt_connection_builder.py): `websockets_with_default_aws_signing()` consulte qué conjuntos `omit_session_token=True` [AWS SDK de dispositivos IoT para Java v2](https://github.com/aws/aws-iot-device-sdk-java-v2/blob/main/sdk/src/main/java/software/amazon/awssdk/iot/AwsIotMqttConnectionBuilder.java): consulte `setOmitSessionToken(true)` Al usar la versión 4 de AWS Signature con AWS IoT, los clientes deben admitir lo siguiente en su implementación de TLS: + TLS 1.2 + SHA-256 Validación de la firma del certificado RSA + Uno de los conjuntos de cifrado de la sección de compatibilidad del conjunto de cifrado TLS Para obtener información, consulte [Gestión de identidad y acceso para AWS IoT](security-iam.md).