Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cómo funciona Amazon Lightsail con IAM
Antes de usar IAM para administrar el acceso a Lightsail, debe saber qué funciones de IAM están disponibles para usar con Lightsail. *Para obtener una visión general de cómo funcionan Lightsail y AWS otros servicios con IAM, [AWS consulte Servicios que funcionan con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM en la Guía del usuario de IAM.*
## Políticas basadas en la identidad de Lightsail
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Lightsail admite acciones, recursos y claves de condición específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas en Lightsail usan el siguiente prefijo antes de la acción:. `lightsail:` Por ejemplo, para conceder permiso a alguien para ejecutar una instancia de Lightsail con la operación de la API de Lightsail, `CreateInstances` debe incluir la acción en su política. `lightsail:CreateInstances` Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. Lightsail define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"lightsail:action1",
"lightsail:action2"
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Create`, incluya la siguiente acción:
```
"Action": "lightsail:Create*"
```
*Para ver una lista de las acciones de Lightsail, [consulte Acciones definidas por Amazon Lightsail en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions).*
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
**importante**
Lightsail no admite permisos a nivel de recursos para algunas acciones de la API. Para obtener más información, consulte [Compatibilidad con permisos de nivel de recursos y autorización basados en etiquetas](resource-level-permissions-and-auth-based-on-tags-support.md).
El recurso de instancia de Lightsail tiene el siguiente ARN:
```
arn:${Partition}:lightsail:${Region}:${Account}:Instance/${InstanceId}
```
Para obtener más información sobre el formato de ARNs, consulte [Amazon Resource Names (ARNs) y AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por ejemplo, para especificar la instancia de `ea123456-e6b9-4f1d-b518-3ad1234567e6` en su instrucción, utilice el siguiente ARN:
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/ea123456-e6b9-4f1d-b518-3ad1234567e6"
```
Para especificar todas las instancias que pertenecen a una cuenta específica, utilice el carácter comodín (\$1):
```
"Resource": "arn:aws:lightsail:us-east-1:123456789012:Instance/*"
```
Algunas acciones de Lightsail, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Muchas acciones de la API de Lightsail implican varios recursos. Por ejemplo, `AttachDisk` adjunta un disco de almacenamiento en bloque de Lightsail a una instancia, por lo que un usuario de IAM debe tener permisos para usar el disco y la instancia. Para especificar varios recursos en una sola sentencia, sepárelos con comas. ARNs
```
"Resource": [
"resource1",
"resource2"
```
*Para ver una lista de los tipos de recursos de Lightsail y ARNs sus respectivos tipos, [consulte Recursos definidos por Amazon Lightsail en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-resources-for-iam-policies).* Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas por Amazon Lightsail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions).
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
Lightsail no proporciona ninguna clave de condición específica del servicio, pero sí admite el uso de algunas claves de condición globales. *Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) de IAM.*
*Para ver una lista de claves de estado de Lightsail, [consulte Claves de estado de Amazon Lightsail en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-policy-keys).* Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por Amazon Lightsail](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html#amazonlightsail-actions-as-permissions).
### Ejemplos
Para ver ejemplos de políticas basadas en la identidad de Lightsail, consulte Ejemplos de políticas basadas en la identidad de Amazon [Lightsail](security_iam_id-based-policy-examples.md).
## Políticas basadas en recursos de Lightsail
Lightsail no admite políticas basadas en recursos.
## Listas de control de acceso () ACLs
Lightsail no admite listas de control de acceso (). ACLs
## Autorización basada en etiquetas de Lightsail
Puede adjuntar etiquetas a los recursos de Lightsail o pasarlas en una solicitud a Lightsail. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `lightsail:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
**importante**
Lightsail no admite la autorización basada en etiquetas para algunas acciones de la API. Para obtener más información, consulte [Compatibilidad con permisos de nivel de recursos y autorización basados en etiquetas](resource-level-permissions-and-auth-based-on-tags-support.md).
[Para obtener más información sobre el etiquetado de los recursos de Lightsail, consulte Etiquetas.](amazon-lightsail-tags.md)
Para ver un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Permitir la creación y eliminación de recursos de Lightsail](https://lightsail.aws.amazon.com/ls/docs/en_us/articles/security_iam_id-based-policy-examples#security_iam_id-based-policy-examples-view-widget-tags) basados en etiquetas.
## Funciones de IAM en Lightsail
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de la cuenta de AWS que dispone de permisos específicos.
### Uso de credenciales temporales con Lightsail
Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamada a operaciones de la API de AWS STS , como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) o [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Lightsail admite el uso de credenciales temporales.
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Lightsail admite funciones vinculadas a servicios. [Para obtener más información sobre la creación o administración de funciones vinculadas a servicios de Lightsail, consulte Funciones vinculadas a servicios.](amazon-lightsail-using-service-linked-roles.md)
### Roles de servicio
Lightsail no admite funciones de servicio.
**Topics**
+ [Políticas basadas en la identidad de Lightsail](#security_iam_service-with-iam-id-based-policies)
+ [Políticas basadas en recursos de Lightsail](#security_iam_service-with-iam-resource-based-policies)
+ [Listas de control de acceso () ACLs](#security_iam_service-with-iam-acls)
+ [Autorización basada en etiquetas de Lightsail](#security_iam_service-with-iam-tags)
+ [Funciones de IAM en Lightsail](#security_iam_service-with-iam-roles)
+ [Ejemplos de políticas basadas en identidades](security_iam_id-based-policy-examples.md)
+ [Ejemplos de políticas de permisos de recursos](security_iam_resource-based-policy-examples.md)
+ [Uso de roles vinculados a servicios](amazon-lightsail-using-service-linked-roles.md)
+ [Administración de buckets con IAM](amazon-lightsail-bucket-management-policies.md)
# Otorgue permisos con privilegios mínimos con las políticas de identidad de IAM en Lightsail
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear o modificar los recursos de Lightsail. Tampoco pueden realizar tareas con la API Consola de administración de AWS AWS CLI, o. AWS Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidad de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
## Prácticas recomendadas relativas a políticas
Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar los recursos de Amazon Lightsail de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola Lightsail
Para acceder a la consola de Amazon Lightsail, debe tener permiso de acceso total a todas las acciones y recursos de Lightsail. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de Lightsail de su cuenta. AWS Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios (es decir, que no tiene acceso completo), la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esa política.
Para garantizar que esas entidades puedan utilizar la consola de Lightsail, adjunte la siguiente política a las entidades. Para obtener más información, consulte [Agregar de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lightsail:*"
],
"Resource": "*"
}
]
}
```
------
No es necesario conceder permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS misma. En su lugar, permite acceso únicamente a las acciones que coincidan con la operación de API que intenta realizar.
## Permitir a los usuarios ver sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Permitir la creación y eliminación de recursos de Lightsail basados en etiquetas
Puede utilizar las condiciones de su política basada en la identidad para controlar el acceso a los recursos de Lightsail en función de las etiquetas. En este ejemplo se muestra cómo puede crear una política que impida a los usuarios crear nuevos recursos de Lightsail a menos que se defina una etiqueta clave y un valor `allow` de en `true` la solicitud de creación. Esta política también impide que los usuarios eliminen recursos a menos que tengan la etiqueta de clave-valor `allow/true`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"lightsail:Create*",
"lightsail:TagResource",
"lightsail:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/allow": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"lightsail:Delete*",
"lightsail:TagResource",
"lightsail:UntagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/allow": "true"
}
}
}
]
}
```
------
El siguiente ejemplo impide que los usuarios cambien la etiqueta de los recursos que tienen una etiqueta de clave-valor que no es `allow/false`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"lightsail:TagResource"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:ResourceTag/allow": "false"
}
}
}
]
}
```
------
Puede asociar estas políticas a los usuarios de IAM de su cuenta. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
# Conceda acceso a recursos específicos de Lightsail mediante políticas de IAM
El término *permisos de nivel de recursos* hace referencia a la capacidad de especificar en qué recursos los usuarios tienen permitido realizar acciones. Amazon Lightsail admite permisos a nivel de recursos. Esto significa que, para determinadas acciones de Lightsail, puede controlar cuándo se permite a los usuarios usar esas acciones en función de las condiciones que deben cumplirse o de los recursos específicos que los usuarios pueden usar o editar. Por ejemplo, puede conceder permisos a los usuarios para administrar una instancia o base de datos con un nombre de recurso de Amazon (ARN) específico.
**importante**
Lightsail no admite permisos a nivel de recursos para algunas acciones de la API. Para obtener más información, consulte [Compatibilidad con permisos de nivel de recursos y autorización basados en etiquetas](resource-level-permissions-and-auth-based-on-tags-support.md).
*Para obtener más información sobre los recursos que se crean o modifican mediante las acciones de Lightsail y las claves de condición ARNs y Lightsail que puede utilizar en una declaración de política de IAM, [consulte Acciones, recursos y claves de condición de Amazon](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonlightsail.html) Lightsail en la Guía del usuario de IAM.*
## Permitir la administración de una instancia específica
La siguiente política permite el acceso a reboot/start/stop una instancia, administra los puertos de la instancia y crea instantáneas de una instancia específica. También proporciona acceso de solo lectura a otra información y recursos relacionados con las instancias en la cuenta de Lightsail. En la política, *InstanceARN* sustitúyalo por el nombre de recurso de Amazon (ARN) de la instancia.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lightsail:GetActiveNames",
"lightsail:GetAlarms",
"lightsail:GetAutoSnapshots",
"lightsail:GetBlueprints",
"lightsail:GetBundles",
"lightsail:GetCertificates",
"lightsail:GetCloudFormationStackRecords",
"lightsail:GetContactMethods",
"lightsail:GetDisk",
"lightsail:GetDisks",
"lightsail:GetDiskSnapshot",
"lightsail:GetDiskSnapshots",
"lightsail:GetDistributionBundles",
"lightsail:GetDistributionLatestCacheReset",
"lightsail:GetDistributionMetricData",
"lightsail:GetDistributions",
"lightsail:GetDomain",
"lightsail:GetDomains",
"lightsail:GetExportSnapshotRecords",
"lightsail:GetInstance",
"lightsail:GetInstanceAccessDetails",
"lightsail:GetInstanceMetricData",
"lightsail:GetInstancePortStates",
"lightsail:GetInstances",
"lightsail:GetInstanceSnapshot",
"lightsail:GetInstanceSnapshots",
"lightsail:GetInstanceState",
"lightsail:GetKeyPair",
"lightsail:GetKeyPairs",
"lightsail:GetLoadBalancer",
"lightsail:GetLoadBalancerMetricData",
"lightsail:GetLoadBalancers",
"lightsail:GetLoadBalancerTlsCertificates",
"lightsail:GetOperation",
"lightsail:GetOperations",
"lightsail:GetOperationsForResource",
"lightsail:GetRegions",
"lightsail:GetRelationalDatabase",
"lightsail:GetRelationalDatabaseBlueprints",
"lightsail:GetRelationalDatabaseBundles",
"lightsail:GetRelationalDatabaseEvents",
"lightsail:GetRelationalDatabaseLogEvents",
"lightsail:GetRelationalDatabaseLogStreams",
"lightsail:GetRelationalDatabaseMetricData",
"lightsail:GetRelationalDatabaseParameters",
"lightsail:GetRelationalDatabases",
"lightsail:GetRelationalDatabaseSnapshot",
"lightsail:GetRelationalDatabaseSnapshots",
"lightsail:GetStaticIp",
"lightsail:GetStaticIps",
"lightsail:IsVpcPeered"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"lightsail:CloseInstancePublicPorts",
"lightsail:CreateInstanceSnapshot",
"lightsail:OpenInstancePublicPorts",
"lightsail:PutInstancePublicPorts",
"lightsail:RebootInstance",
"lightsail:StartInstance",
"lightsail:StopInstance"
],
"Resource": "arn:aws:lightsail:us-east-2:123456789012:Instance/244ad76f-8aad-4741-809f-12345EXAMPLE"
}
]
}
```
------
Para obtener el ARN de la instancia, utilice la acción de la API `GetInstance` Lightsail y especifique el nombre de la instancia mediante el parámetro. `instanceName` Su instancia ARN aparecerá en los resultados de esa acción como se muestra en el siguiente ejemplo. Para obtener más información, consulte la referencia [GetInstance](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_GetInstance.html)de la API de *Amazon Lightsail*.
![\[Un ARN de instancia en los GetInstance resultados.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/amazon-lightsail-instance-arn.png)
## Permitir la administración de una base de datos específica
La siguiente política otorga acceso a una base de datos específica reboot/start/stop y la actualiza. También proporciona acceso de solo lectura a otra información y recursos relacionados con la base de datos en la cuenta de Lightsail. En la política, *DatabaseARN* sustitúyalo por el nombre de recurso de Amazon (ARN) de la base de datos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"lightsail:GetActiveNames",
"lightsail:GetAlarms",
"lightsail:GetAutoSnapshots",
"lightsail:GetBlueprints",
"lightsail:GetBundles",
"lightsail:GetCertificates",
"lightsail:GetCloudFormationStackRecords",
"lightsail:GetContactMethods",
"lightsail:GetDisk",
"lightsail:GetDisks",
"lightsail:GetDiskSnapshot",
"lightsail:GetDiskSnapshots",
"lightsail:GetDistributionBundles",
"lightsail:GetDistributionLatestCacheReset",
"lightsail:GetDistributionMetricData",
"lightsail:GetDistributions",
"lightsail:GetDomain",
"lightsail:GetDomains",
"lightsail:GetExportSnapshotRecords",
"lightsail:GetInstance",
"lightsail:GetInstanceAccessDetails",
"lightsail:GetInstanceMetricData",
"lightsail:GetInstancePortStates",
"lightsail:GetInstances",
"lightsail:GetInstanceSnapshot",
"lightsail:GetInstanceSnapshots",
"lightsail:GetInstanceState",
"lightsail:GetKeyPair",
"lightsail:GetKeyPairs",
"lightsail:GetLoadBalancer",
"lightsail:GetLoadBalancerMetricData",
"lightsail:GetLoadBalancers",
"lightsail:GetLoadBalancerTlsCertificates",
"lightsail:GetOperation",
"lightsail:GetOperations",
"lightsail:GetOperationsForResource",
"lightsail:GetRegions",
"lightsail:GetRelationalDatabase",
"lightsail:GetRelationalDatabaseBlueprints",
"lightsail:GetRelationalDatabaseBundles",
"lightsail:GetRelationalDatabaseEvents",
"lightsail:GetRelationalDatabaseLogEvents",
"lightsail:GetRelationalDatabaseLogStreams",
"lightsail:GetRelationalDatabaseMetricData",
"lightsail:GetRelationalDatabaseParameters",
"lightsail:GetRelationalDatabases",
"lightsail:GetRelationalDatabaseSnapshot",
"lightsail:GetRelationalDatabaseSnapshots",
"lightsail:GetStaticIp",
"lightsail:GetStaticIps",
"lightsail:IsVpcPeered"
],
"Resource": "*"
},
{
"Sid": "VisualEditor2",
"Effect": "Allow",
"Action": [
"lightsail:RebootRelationalDatabase",
"lightsail:StartRelationalDatabase",
"lightsail:StopRelationalDatabase",
"lightsail:UpdateRelationalDatabase"
],
"Resource": "arn:aws:lightsail:us-east-2:123456789012:RelationalDatabase/244ad76f-8aad-4741-809f-12345EXAMPLE"
}
]
}
```
------
Para obtener el ARN de la base de datos, utilice la acción de la API `GetRelationalDatabase` Lightsail y especifique el nombre de la base de datos mediante el parámetro. `relationalDatabaseName` El ARN de la base de datos se mostrará en los resultados de esa acción, como se muestra en el siguiente ejemplo. Para obtener más información, consulte la referencia [GetRelationalDatabase](https://docs.aws.amazon.com/lightsail/2016-11-28/api-reference/API_GetRelationalDatabase.html)de la API de *Amazon Lightsail*.
![\[Un ARN de base de datos en los GetRelationalDatabase resultados.\]](http://docs.aws.amazon.com/es_es/lightsail/latest/userguide/images/amazon-lightsail-database-arn.png)
# Utilice funciones vinculadas a servicios para Amazon Lightsail
[Amazon Lightsail AWS Identity and Access Management utiliza funciones vinculadas a servicios (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon Lightsail. Amazon Lightsail predefine las funciones vinculadas a servicios e incluyen todos los permisos que Lightsail necesita para llamar a otros servicios en su nombre. AWS
Un rol vinculado a un servicio facilita la configuración de Amazon Lightsail, ya que no es necesario añadir manualmente los permisos necesarios. Amazon Lightsail define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo Amazon Lightsail puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, que no se pueden adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus recursos de Amazon Lightsail porque no puedes retirar inadvertidamente el permiso de acceso a los recursos.
Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que tienen **Sí **en la columna **Rol vinculado a servicios**. Seleccione una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de roles vinculados a servicios para Amazon Lightsail
Amazon Lightsail utiliza el rol vinculado al servicio denominado rol **AWSServiceRoleForLightsail**para exportar instantáneas de discos de almacenamiento de bloques e instancias de Lightsail a Amazon Elastic Compute Cloud (Amazon EC2) Compute Cloud (Amazon EC2) y para obtener la configuración actual de acceso público en bloque a nivel de cuenta desde Amazon Simple Storage Service (Amazon S3) (Simple Storage Service (Amazon S3) (Simple Storage Service) (Amazon S3).
El rol vinculado al AWSService RoleForLightsail servicio confía en los siguientes servicios para asumir el rol:
+ `lightsail.amazonaws.com`
La política de permisos de roles permite a Amazon Lightsail realizar las siguientes acciones en los recursos especificados:
+ Acción: `ec2:CopySnapshot` en todos AWS los recursos.
+ Acción: `ec2:DescribeSnapshots` sobre todos los AWS recursos.
+ Acción: `ec2:CopyImage` sobre todos los AWS recursos.
+ Acción: `ec2:DescribeImages` sobre todos los AWS recursos.
+ Acción: `cloudformation:DescribeStacks` en todos los CloudFormation stacks de AWS.
+ Acción: `s3:GetAccountPublicAccessBlock` en todos los AWS recursos.
### Permisos de roles vinculados a servicios
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear o editar la descripción de un rol vinculado a un servicio.
**Para permitir a una entidad de IAM que cree un rol vinculado a un servicio específico**
Agregue la siguiente política a la entidad de IAM que necesite crear el rol vinculado con un servicio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*",
"Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
]
}
```
------
**Para permitir a una entidad de IAM crear un rol vinculado a cualquier servicio**
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite crear un rol vinculado con un servicio o cualquier función de servicio que incluya las políticas necesarias. Esta política asocia una política al rol.
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**Para permitir a una entidad IAM editar la descripción de cualquier función de servicio de servicio**
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite editar la descripción de un rol vinculado con un servicio o cualquier función de servicio.
```
{
"Effect": "Allow",
"Action": "iam:UpdateRoleDescription",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**Para permitir a una entidad de IAM eliminar un rol vinculado a un servicio específico**
agregue la siguiente instrucción a la política de permisos de la entidad de IAM entidad que necesita eliminar el rol vinculado con el servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
```
**Cómo permitir a una entidad de IAM eliminar cualquier rol de servicio**
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que tiene que eliminar un rol vinculado a un servicio o cualquier rol de servicio.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
Como alternativa, puede utilizar una política AWS gestionada para proporcionar acceso total al servicio.
## Creación de un rol vinculado a un servicio para Amazon Lightsail
No necesita crear manualmente un rol vinculado a servicios. Al exportar su instancia de Lightsail o la instantánea del disco de almacenamiento en bloque a Amazon EC2, o al crear o actualizar un bucket de Lightsail en la, la o AWS Consola de administración de AWS la API AWS , Amazon Lightsail crea el AWS CLI rol vinculado al servicio automáticamente.
Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al exportar la instancia de Lightsail o la instantánea del disco de almacenamiento en bloque a Amazon EC2, o al crear o actualizar un bucket de Lightsail, Amazon Lightsail vuelve a crear el rol vinculado al servicio para usted.
**importante**
Debe configurar los permisos de IAM para permitir que Amazon Lightsail cree el rol vinculado al servicio. Para ello, siga los pasos que se indican en la siguiente sección *Permisos de roles vinculados a servicios*.
## Edición de un rol vinculado a un servicio para Amazon Lightsail
Amazon Lightsail no le permite editar AWSService RoleForLightsail el rol vinculado al servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Amazon Lightsail
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe confirmar que no hay ninguna instancia de Amazon Lightsail ni ninguna instantánea de disco en estado de copia pendiente antes de poder eliminar la función vinculada al servicio. AWSService RoleForLightsail Para obtener más información, consulte [Exportación de instantáneas a Amazon EC2](amazon-lightsail-exporting-snapshots-to-amazon-ec2.md).
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM, la o la AWS API para AWS CLI eliminar la función vinculada al servicio. AWSService RoleForLightsail Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con las funciones vinculadas a Amazon Lightsail Service
Amazon Lightsail admite el uso de funciones vinculadas a un servicio en todas las regiones en las que el servicio esté disponible. Para obtener más información sobre las regiones en las que Lightsail está disponible, consulte Regiones de Amazon [Lightsail](https://docs.aws.amazon.com/general/latest/gr/rande.html#lightsail_region).
# Administre los depósitos de Lightsail con una política de IAM
La siguiente política concede a un usuario acceso para gestionar un depósito específico en el servicio de almacenamiento de objetos de Amazon Lightsail. Esta política otorga acceso a los depósitos a través de la consola Lightsail, AWS Command Line Interface la API AWS CLI() AWS y. AWS SDKs En la política, sustitúyalo por ** el nombre del depósito que se va a administrar. Para obtener más información acerca de las políticas, consulte [Crear políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de AWS Identity and Access Management *. Para obtener más información sobre cómo crear usuarios y grupos de usuarios de IAM, consulte [Creación del primer grupo de usuarios y usuario delegado de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html) en la *Guía del usuario de AWS Identity and Access Management *.
**importante**
Los usuarios que no dispongan de esta política experimentarán errores al ver la pestaña **Objetos** de la página de administración de buckets en la consola de Lightsail.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LightsailAccess",
"Effect": "Allow",
"Action": "lightsail:*",
"Resource": "*"
},
{
"Sid": "S3BucketAccess",
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::/*",
"arn:aws:s3:::"
]
}
]
}
```
------
## Administración de buckets y objetos
Estos son los pasos generales para administrar su depósito de almacenamiento de objetos de Lightsail:
1. Obtén información sobre los objetos y los depósitos en el servicio de almacenamiento de objetos de Amazon Lightsail. Para obtener más información, consulte [Almacenamiento de objetos en Amazon Lightsail](buckets-in-amazon-lightsail.md).
1. Obtén información sobre los nombres que puedes dar a tus cubos en Amazon Lightsail. Para obtener más información, consulte [las reglas de denominación de los buckets en Amazon Lightsail](bucket-naming-rules-in-amazon-lightsail.md).
1. Comience a utilizar el servicio de almacenamiento de objetos de Lightsail creando un depósito. Para obtener más información, consulte [Creación de depósitos en Amazon Lightsail](amazon-lightsail-creating-buckets.md).
1. Obtenga información sobre las prácticas recomendadas de seguridad para los buckets y los permisos de acceso que puede configurar para el bucket. Puede hacer que todos los objetos del bucket sean públicos o privados, o puede optar por hacer públicos los objetos individuales. También puede conceder acceso al bucket mediante la creación de claves de acceso, la asociación de instancias al bucket y la concesión de acceso a otras cuentas de AWS. Para obtener más información, consulte [Prácticas recomendadas de seguridad para el almacenamiento de objetos de Amazon Lightsail](amazon-lightsail-bucket-security-best-practices.md) [y Descripción de los permisos de los buckets en Amazon](amazon-lightsail-understanding-bucket-permissions.md) Lightsail.
Tras obtener información sobre los permisos de acceso al bucket, consulte las siguientes guías para conceder el acceso al bucket:
+ [Bloquee el acceso público a los depósitos en Amazon Lightsail](amazon-lightsail-block-public-access-for-buckets.md)
+ [Configuración de los permisos de acceso a los buckets en Amazon Lightsail](amazon-lightsail-configuring-bucket-permissions.md)
+ [Configuración de los permisos de acceso para objetos individuales de un bucket en Amazon Lightsail](amazon-lightsail-configuring-individual-object-access.md)
+ [Crear claves de acceso para un depósito en Amazon Lightsail](amazon-lightsail-creating-bucket-access-keys.md)
+ [Configuración del acceso a los recursos para un bucket en Amazon Lightsail](amazon-lightsail-configuring-bucket-resource-access.md)
+ [Configuración del acceso multicuenta a un bucket en Amazon Lightsail](amazon-lightsail-configuring-bucket-cross-account-access.md)
1. Obtenga información sobre cómo habilitar el registro de acceso para el bucket y cómo usar los registros de acceso para auditar la seguridad del bucket. Para obtener más información, consulte las siguientes guías.
+ [Registro de acceso para depósitos en el servicio de almacenamiento de objetos de Amazon Lightsail](amazon-lightsail-bucket-access-logs.md)
+ [Formato de registro de acceso para un depósito en el servicio de almacenamiento de objetos de Amazon Lightsail](amazon-lightsail-bucket-access-log-format.md)
+ [Habilitar el registro de acceso a un depósito en el servicio de almacenamiento de objetos de Amazon Lightsail](amazon-lightsail-enabling-bucket-access-logs.md)
+ [Uso de los registros de acceso de un bucket en Amazon Lightsail para identificar las solicitudes](amazon-lightsail-using-bucket-access-logs.md)
1. Cree una política de IAM que permita a un usuario administrar un depósito en Lightsail. Para obtener más información, consulte la [política de IAM para gestionar depósitos en Amazon Lightsail](#amazon-lightsail-bucket-management-policies).
1. Obtenga información sobre la forma en que se etiquetan e identifican los objetos del bucket. Para obtener más información, consulte [Descripción de los nombres de clave de objetos en Amazon Lightsail](understanding-bucket-object-key-names-in-amazon-lightsail.md).
1. Obtenga información sobre cómo cargar archivos y administrar los objetos de los buckets. Para obtener más información, consulte las siguientes guías.
+ [Carga de archivos a un depósito en Amazon Lightsail](amazon-lightsail-uploading-files-to-a-bucket.md)
+ [Carga de archivos a un depósito en Amazon Lightsail mediante la carga multiparte](amazon-lightsail-uploading-files-to-a-bucket-using-multipart-upload.md)
+ [Visualización de objetos en una cubeta en Amazon Lightsail](amazon-lightsail-viewing-objects-in-a-bucket.md)
+ [Copiar o mover objetos de una cubeta en Amazon Lightsail](amazon-lightsail-copying-moving-bucket-objects.md)
+ [Descargar objetos de un depósito en Amazon Lightsail](amazon-lightsail-downloading-bucket-objects.md)
+ [Filtrar objetos de un depósito en Amazon Lightsail](amazon-lightsail-filtering-bucket-objects.md)
+ [Etiquetar objetos en una cubeta en Amazon Lightsail](amazon-lightsail-tagging-bucket-objects.md)
+ [Eliminar objetos de un depósito en Amazon Lightsail](amazon-lightsail-deleting-bucket-objects.md)
1. Habilite el control de versiones de objetos para conservar, recuperar y restaurar todas las versiones de los objetos almacenados en su bucket. Para obtener más información, consulte [Habilitar y suspender el control de versiones de objetos en un bucket en Amazon Lightsail](amazon-lightsail-managing-bucket-object-versioning.md).
1. Tras habilitar el control de versiones de objetos, puede restaurar las versiones anteriores de los objetos del bucket. Para obtener más información, consulte [Restauración de versiones anteriores de objetos en un bucket en Amazon Lightsail](amazon-lightsail-restoring-bucket-object-versions.md).
1. Supervise el uso del bucket. Para obtener más información, consulta Cómo [ver las métricas de tu bucket en Amazon Lightsail](amazon-lightsail-viewing-bucket-metrics.md).
1. Configure una alarma para que se notifiquen las métricas del bucket cuando el uso del bucket supere un umbral. Para obtener más información, consulte [Creación de alarmas métricas de bucket en Amazon Lightsail](amazon-lightsail-adding-bucket-metric-alarms.md).
1. Cambie el plan de almacenamiento del bucket si se está agotando el almacenamiento y las transferencias de red. Para obtener más información, consulta [Cambiar el plan de tu bucket en Amazon Lightsail](amazon-lightsail-changing-bucket-plans.md).
1. Aprenda a conectar el bucket a otros recursos. Para obtener más información, consulte los siguientes tutoriales.
+ [Tutorial: Cómo conectar una WordPress instancia a un bucket de Amazon Lightsail](amazon-lightsail-connecting-buckets-to-wordpress.md)
+ [Tutorial: Uso de un bucket de Amazon Lightsail con una red de distribución de contenido de Lightsail](amazon-lightsail-using-distributions-with-buckets.md)
1. Elimine el bucket si ya no lo utiliza. Para obtener más información, consulte [Eliminar depósitos en Amazon Lightsail](amazon-lightsail-deleting-buckets.md).