Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity and Access Management (IAM) \$1 Crear entidad o política (permisos de lectura y escritura)
Cree un rol o una política de Identity and Access Management (IAM) con permisos de lectura y escritura. Debe haber activado esta función con el tipo de cambio ct-1706xvvk6j9hf antes de enviar esta solicitud. El aprovisionamiento automatizado de IAM con permisos de lectura y escritura lleva a cabo más de 200 validaciones para garantizar unos resultados satisfactorios.
**Clasificación completa:** Despliegue \$1 Componentes de pila avanzados \$1 Identity and Access Management (IAM) \$1 Crear entidad o política (permisos de lectura-escritura)
## Detalles del tipo de cambio
****
| | |
| --- |--- |
| ID de tipo de cambio | ct-1n9gfnog5x7fl |
| Versión actual | 1.0 |
| Duración prevista de la ejecución | 60 minutos |
| Aprobación de AWS | Obligatorio |
| Aprobación del cliente | No es obligatorio si es el remitente |
| Modo de ejecución | Automatizado |
## Información adicional
### Cree una entidad o política de IAM
#### Crear una entidad o política de IAM con la consola
![\[IAM role or policy creation interface with ID, execution mode, and description details.\]](http://docs.aws.amazon.com/es_es/managedservices/latest/ctref/images/guiIamEntityCreateCT.png)
Cómo funciona:
1. Vaya a la página **Crear RFC**: en el panel de navegación izquierdo de la consola AMS, haga clic **RFCs**para abrir la página de RFCs listas y, a continuación, haga clic en **Crear RFC**.
1. Elija un tipo de cambio (CT) popular en la vista predeterminada **de búsqueda de tipos de cambios** o seleccione un CT en la vista **Elegir por categoría**.
+ **Busque por tipo de cambio**: puede hacer clic en un CT popular en el área de **creación rápida** para abrir inmediatamente la página **Ejecutar RFC**. Tenga en cuenta que no puede elegir una versión antigua de CT con Quick Create.
Para ordenar CTs, utilice el área **Todos los tipos de cambios** en la vista **de tarjeta** o de **tabla**. En cualquiera de las vistas, seleccione una CT y, a continuación, haga clic en **Crear RFC** para abrir la página **Ejecutar RFC**. Si corresponde, aparece la opción **Crear con una versión anterior** junto al botón **Crear RFC**.
+ **Elegir por categoría**: seleccione una categoría, una subcategoría, un elemento y una operación, y se abrirá el cuadro de detalles del CT con la opción **Crear con una versión anterior, si corresponde**. Haga clic en **Crear RFC** para abrir la página **Ejecutar RFC**.
1. En la página **Ejecutar RFC**, abra el área del nombre del CT para ver el cuadro de detalles del CT. Se requiere un **asunto** (lo rellena automáticamente si elige su CT en la vista **Buscar tipos de cambios**). Abra el área **de configuración adicional** para añadir información sobre la RFC.
En el área de **configuración de ejecución**, utilice las listas desplegables disponibles o introduzca valores para los parámetros necesarios. Para configurar los parámetros de ejecución opcionales, abra el área **de configuración adicional**.
1. Cuando haya terminado, haga clic en **Ejecutar**. Si no hay errores, aparecerá la página de la **RFC creada correctamente** con los detalles de la RFC enviada y el resultado inicial de la **ejecución**.
1. Abra el área de **parámetros de ejecución** para ver las configuraciones que envió. Actualice la página para actualizar el estado de ejecución de la RFC. Si lo desea, cancele la RFC o cree una copia de la misma con las opciones de la parte superior de la página.
#### Creación de una entidad o política de IAM con la CLI
Cómo funciona:
1. Utilice la función de creación en línea (se emite un `create-rfc` comando con todos los parámetros de ejecución y RFC incluidos) o la de plantilla (se crean dos archivos JSON, uno para los parámetros de RFC y otro para los parámetros de ejecución) y ejecute el `create-rfc` comando con los dos archivos como entrada. Ambos métodos se describen aquí.
1. Envíe el `aws amscm submit-rfc --rfc-id ID` comando RFC: con el ID de RFC devuelto.
Supervise el comando RFC:. `aws amscm get-rfc --rfc-id ID`
Para comprobar la versión del tipo de cambio, utilice este comando:
```
aws amscm list-change-type-version-summaries --filter Attribute=ChangeTypeId,Value=CT_ID
```
**nota**
Puede utilizar cualquier `CreateRfc` parámetro con cualquier RFC, forme o no parte del esquema del tipo de cambio. Por ejemplo, para recibir notificaciones cuando cambie el estado de la RFC, añada esta línea `--notification "{\"Email\": {\"EmailRecipients\" : [\"email@example.com\"]}}"` a la parte de los parámetros de la RFC de la solicitud (no a los parámetros de ejecución). Para ver una lista de todos los CreateRfc parámetros, consulta la referencia de la [API de administración de cambios de AMS](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/API_CreateRfc.html).
*CREACIÓN EN LÍNEA*:
Ejecute el comando create RFC con los parámetros de ejecución incluidos en línea (comillas de escape al proporcionar los parámetros de ejecución en línea) y, a continuación, envíe el ID de RFC devuelto. Por ejemplo, puedes reemplazar el contenido por algo como esto:
```
aws amscm create-rfc --change-type-id "ct-1n9gfnog5x7fl" --change-type-version "1.0" --title "Create role or policy" --execution-parameters '{"DocumentName":"AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin","Region":"us-east-1","Parameters":{"ValidateOnly":"No"},"RoleDetails":{"Roles":[{"RoleName":"RoleTest01","Description":"This is a test role","AssumeRolePolicyDocument":"{"Version": "2012-10-17", "Statement":[{"Effect":"Allow","Principal":{"AWS":"arn:aws:iam::123456789012:root"},"Action":"sts:AssumeRole"}]}","ManagedPolicyArns":["arn:aws:iam::123456789012:policy/policy01","arn:aws:iam::123456789012:policy/policy02"],"Path":"/","MaxSessionDuration":"7200","PermissionsBoundary":"arn:aws:iam::123456789012:policy/permission_boundary01","InstanceProfile":"No"}]},"ManagedPolicyDetails":{"Policies":[{"ManagedPolicyName":"TestPolicy01","Description":"This is customer policy","Path":"/test/","PolicyDocument":"{"Version":"2012-10-17","Statement":[{"Sid":"AllQueueActions","Effect":"Allow","Action":"sqs:ListQueues","Resource":"*","Condition":{"ForAllValues:StringEquals":{"aws:tagKeys":["temporary"]}}}]}"}]}}'
```
*CREACIÓN DE PLANTILLA*:
1. Envía los parámetros de ejecución del esquema JSON para este tipo de cambio a un archivo; el ejemplo lo nombra CreateIamResourceParams .json:
```
aws amscm get-change-type-version --change-type-id "ct-1n9gfnog5x7fl" --query "ChangeTypeVersion.ExecutionInputSchema" --output text > CreateIamResourceParams.json
```
1. Modifique y guarde el CreateIamResourceParams archivo; en el ejemplo, se crea un rol de IAM con los documentos de política pegados en línea.
```
{
"DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
"Region": "us-east-1",
"Parameters": {
"ValidateOnly": "No"
},
"RoleDetails": {
"Roles": [
{
"RoleName": "RoleTest01",
"Description": "This is a test role",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": "sts:AssumeRole"
}
]
},
"ManagedPolicyArns": [
"arn:aws:iam::123456789012:policy/policy01",
"arn:aws:iam::123456789012:policy/policy02"
],
"Path": "/",
"MaxSessionDuration": "7200",
"PermissionsBoundary": "arn:aws:iam::123456789012:policy/permission_boundary01",
"InstanceProfile": "No"
}
]
},
"ManagedPolicyDetails": {
"Policies": [
{
"ManagedPolicyName": "TestPolicy01",
"Description": "This is customer policy",
"Path": "/test/",
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllQueueActions",
"Effect": "Allow",
"Action": "sqs:ListQueues",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:tagKeys": [
"temporary"
]
}
}
}
]
}
}
]
}
}
```
1. Transfiera el archivo JSON de la plantilla RFC a un archivo denominado .json: CreateIamResourceRfc
```
aws amscm create-rfc --generate-cli-skeleton > CreateIamResourceRfc.json
```
1. Modifique y guarde el CreateIamResourceRfc archivo.json. Por ejemplo, puedes reemplazar el contenido por algo como esto:
```
{
"ChangeTypeVersion": "1.0",
"ChangeTypeId": "ct-1n9gfnog5x7fl",
"Title": "Create entity or policy (read-write permissions)"
}
```
1. Cree el RFC, especificando el CreateIamResourceRfc archivo y el CreateIamResourceParams archivo:
```
aws amscm create-rfc --cli-input-json file://CreateIamResourceRfc.json --execution-parameters file://CreateIamResourceParams.json
```
Recibirá el ID de la nueva RFC en la respuesta y podrá utilizarla para enviar y supervisar la RFC. Hasta que la envíe, la RFC permanece en estado de edición y no se inicia.
#### Consejos
+ Después de aprovisionar una función de IAM en su cuenta, según la función y el documento de política que adjunte a la función, es posible que necesite incorporar la función en su solución de federación.
+ Para obtener más información AWS Identity and Access Management, consulte [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/) y, para obtener información sobre políticas, consulte [Políticas administradas y políticas en línea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html). Para obtener información sobre los permisos de AMS, consulte [Implementación de recursos de IAM](https://docs.aws.amazon.com/managedservices/latest/userguide/deploy-iam-resources.html).
## Parámetros de entrada de ejecución
Para obtener información detallada sobre los parámetros de entrada de la ejecución, consulte[Esquema para el tipo de cambio ct-1n9gfnog5x7fl](schemas.md#ct-1n9gfnog5x7fl-schema-section).
## Ejemplo: Parámetros necesarios
```
{
"DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
"Region": "us-east-1",
"Parameters": {
"ValidateOnly": "No"
},
"RoleDetails": {
"Roles": [
{
"RoleName": "RoleTest01",
"AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}"
}
]
},
"ManagedPolicyDetails": {
"Policies": [
{
"ManagedPolicyName": "TestPolicy01",
"Description": "This is customer policy",
"Path": "/test/",
"PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}"
}
]
}
}
```
## Ejemplo: todos los parámetros
```
{
"DocumentName": "AWSManagedServices-HandleAutomatedIAMProvisioningCreate-Admin",
"Region": "us-east-1",
"Parameters": {
"ValidateOnly": "No"
},
"RoleDetails": {
"Roles": [
{
"RoleName": "RoleTest01",
"Description": "This is a test role",
"AssumeRolePolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":\"arn:aws:iam::123456789012:root\"},\"Action\":\"sts:AssumeRole\"}]}",
"ManagedPolicyArns": [
"arn:aws:iam::123456789012:policy/policy01",
"arn:aws:iam::123456789012:policy/policy02"
],
"Path": "/",
"MaxSessionDuration": "7200",
"PermissionsBoundary": "arn:aws:iam::123456789012:policy/permission_boundary01",
"InstanceProfile": "No"
}
]
},
"ManagedPolicyDetails": {
"Policies": [
{
"ManagedPolicyName": "TestPolicy01",
"Description": "This is customer policy",
"Path": "/test/",
"PolicyDocument": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AllQueueActions\",\"Effect\":\"Allow\",\"Action\":\"sqs:ListQueues\",\"Resource\":\"*\",\"Condition\":{\"ForAllValues:StringEquals\":{\"aws:tagKeys\":[\"temporary\"]}}}]}"
}
]
}
}
```