

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Federe su Active Directory con las funciones de AMS AWS Identity and Access Management
<a name="federate-dir-with-sent-iam-roles"></a>

El objetivo de federar su directorio con las funciones de IAM de AMS es permitir a los usuarios corporativos utilizar sus credenciales corporativas para interactuar con la consola AMS Consola de administración de AWS y, por lo tanto AWS APIs, con ella. APIs

# Ejemplo de proceso de federación
<a name="fed-process-ex"></a>

En este ejemplo se utilizan los Servicios de federación de Active Directory (AD FS); sin embargo, se admite cualquier tecnología que admita AWS Identity and Access Management la federación. Para obtener más información sobre la federación de IAM AWS compatible, consulte [Socios de IAM](https://aws.amazon.com/iam/partners/) y [proveedores de identidad y](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) federación. Su CSDM le ayudará en este proceso, que implica un esfuerzo conjunto con su equipo de AD y AMS.

Para obtener información detallada sobre la integración de SAML para el acceso a las API, consulte este AWS blog, [Cómo implementar el acceso federado a las API y CLI mediante SAML 2.0 y AD FS](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS).

**nota**  
Para ver un ejemplo que instala la CLI de AMS y el SAML, consulte. [Apéndice: Regla de notificación de ActiveDirectory Federation Services (ADFS) y configuración de SAML](apx-adfs-claim-rule-saml.md)

# Configuración de la federación en la consola AMS (SALZ)
<a name="fed-with-console"></a>

Las funciones de IAM y el proveedor de identidad de SAML (entidad de confianza) que se detallan en la siguiente tabla se han proporcionado como parte de la incorporación de su cuenta. Estas funciones te permiten enviar y supervisar RFCs solicitudes de servicio e informes de incidentes, así como obtener información sobre tus cuentas. VPCs 


****  

| Rol | Proveedor de identidades | Permisos | 
| --- | --- | --- | 
| Cliente\$1 \$1Role ReadOnly | SAML | Para cuentas AMS estándar. Permite enviar solicitudes de servicio e RFCs incidentes para realizar cambios en la infraestructura gestionada por AMS, así como crear solicitudes de servicio e incidentes.  | 
| customer\$1managed\$1ad\$1user\$1role | SAML | Para cuentas de Active Directory administradas por AMS. Permite iniciar sesión en la consola AMS para crear solicitudes de servicio e incidentes (no RFCs). | 

Para ver la lista completa de las funciones disponibles en las diferentes cuentas, consulte[Función de usuario de IAM en AMS](defaults-user-role.md).

Un miembro del equipo de incorporación carga el archivo de metadatos de su solución de federación al proveedor de identidades preconfigurado. Utiliza un proveedor de identidades de SAML cuando quiere establecer confianza entre un IdP (proveedor de identidades) compatible con SAML, como Shibboleth o Active Directory Federation Services, de modo que los usuarios de su organización puedan acceder a los recursos de AWS. Los proveedores de identidad SAML en IAM se utilizan como principales en una política de confianza de IAM con las funciones anteriores.

Mientras que otras soluciones de federación proporcionan instrucciones de integración para AWS, AMS tiene instrucciones independientes. En la siguiente entrada del blog, [Enabling Federation to AWS Using Windows Active Directory, AD FS y SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/), junto con las modificaciones que se indican a continuación, permitirán a los usuarios corporativos acceder a varias cuentas de AWS desde un único navegador.

Tras crear el fideicomiso de la parte de confianza según se indica en la entrada del blog, configure las reglas de reclamaciones de la siguiente manera:
+ **NameId**: Sigue la entrada del blog.
+ **RoleSessionName**: Utilice los siguientes valores:
  + **Nombre de la regla de reclamación**: RoleSessionName
  + **Almacén de atributos**: Active Directory
  + **Atributo de LDAP**: SAM-Account-Name
  + **Tipo de reclamación saliente**: atributos/ https://aws.amazon.com/SAML/ RoleSessionName
+ Obtenga grupos de anuncios: siga la publicación del blog.
+ Reclamación de rol: sigue la entrada del blog, pero para la regla personalizada, usa lo siguiente:

  ```
  c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
   "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
  ```

Al usar AD FS, debe crear grupos de seguridad de Active Directory para cada rol en el formato que se muestra en la siguiente tabla (customer\$1managed\$1ad\$1user\$1role es solo para las cuentas AD administradas por AMS):


****  

| Grupo | Rol | 
| --- | --- | 
| AWS- [AccountNo] ReadOnly -Cliente\$1 \$1Rol | Cliente\$1 \$1Rol ReadOnly | 
| AWS- [AccountNo] -customer\$1managed\$1ad\$1user\$1role | custome\$1managed\$1ad\$1user\$1role | 

[Para obtener más información, consulte Configuración de las aserciones de SAML para la respuesta de autenticación.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)

**sugerencia**  
Para ayudarte a solucionar problemas, descarga el complemento SAML Tracer para tu navegador.

# Envío de la solicitud de federación a AMS
<a name="fed-with-console-submit"></a>

Si es su primera cuenta, trabaje con sus arquitectos de and/or nube de CSDM para proporcionar el archivo XML de metadatos a su proveedor de identidad.

Si va a incorporar una cuenta o un proveedor de identidad adicional y tiene acceso a la cuenta de administración o a la cuenta de aplicación que desee, siga estos pasos.

1. Cree una solicitud de servicio desde la consola AMS y proporcione los detalles necesarios para añadir el proveedor de identidad:
   + AccountId de la cuenta en la que se creará el nuevo proveedor de identidad.
   + Si no se proporciona el nombre del proveedor de identidad deseado, el predeterminado será **customer-saml**; normalmente, debe coincidir con los ajustes configurados en el proveedor de la federación.
   + En el caso de las cuentas existentes, indica si el nuevo proveedor de identidades debe propagarse a todas las funciones de consola existentes o proporciona una lista de funciones que deben confiar en el nuevo proveedor de identidades.
   + Adjunta el archivo XML de metadatos exportado por tu agente de federación a la solicitud de servicio como archivo adjunto.

1. Desde la misma cuenta en la que creó la solicitud de servicio, cree una nueva RFC con el CT-ID ct-1e1xtak34nx76 (Administración \$1 Otros \$1 Otros \$1 Crear) con la siguiente información.
   + <Name>Título: «IDP SAML integrado para la cuenta < >». AccountId
   + AccountId de la cuenta en la que se creará el proveedor de identidad.
   + Nombre del proveedor de identidad.
   + Para las cuentas existentes: si el proveedor de identidades debe propagarse a todas las funciones de consola existentes o a la lista de funciones que deben confiar en el nuevo proveedor de identidades.
   + Identificador de caso de la solicitud de servicio creada en el paso 1, donde se adjunta el archivo XML de metadatos.

# Verificar el acceso a la consola
<a name="verify-console-access"></a>

Una vez que haya configurado ADFS y disponga de la URL de AMS para utilizarla en la autenticación, siga estos pasos.

Con una configuración del Servicio federado de Active Directory (ADFS), puede seguir estos pasos:

1. Abra una ventana del navegador y vaya a la página de inicio de sesión proporcionada para su cuenta. Se abre la **IdpInitiatedSignOn**página ADFS de su cuenta. 

1. Selecciona el botón de radio situado junto a **Iniciar sesión en uno de los siguientes sitios**. Se activa la lista **de selección de sitios para iniciar sesión**. 

1. **Selecciona el sitio **signin.aws.amazon.com** y haz clic en Iniciar sesión.** Se abren las opciones para introducir sus credenciales.

1. Introduzca sus credenciales de CORP y haga clic **en Iniciar sesión**. Se Consola de administración de AWS abre.

1. Pegue en la barra de direcciones la URL de la consola AMS y pulse **Entrar**. Se abre la consola AMS.

# Verificar el acceso a la API
<a name="verify-api-access"></a>

AMS usa la API de AWS, con algunas operaciones específicas de AMS sobre las que puede leer en la referencia de la [API de AMS](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html).

AWS proporciona varios a los SDKs que puede acceder en [Tools for Amazon Web Services](https://aws.amazon.com/tools/). Si no desea utilizar un SDK, puede realizar llamadas directas a la API. Para obtener información sobre la autenticación, consulte [Firmar solicitudes de API de AWS](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html). Si no utiliza un SDK o no realiza solicitudes directas a la API HTTP, puede utilizar el AMS CLIs para la gestión de cambios (CM) y el SKMS. 

# Instale el AMS CLIs
<a name="install-cli"></a>

Para ver un ejemplo de cómo instalar la CLI de AWS Managed Services (AMS) para usarla con SAML, consulte[Apéndice: Regla de notificación de ActiveDirectory Federation Services (ADFS) y configuración de SAML](apx-adfs-claim-rule-saml.md).

Si necesita acceso temporal, para obtener e instalar AWS Managed Services (AMS) SDKs, consulte [Acceso temporal a la consola AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html). 
**nota**  
Debe tener credenciales de administrador para este procedimiento.

La AWS CLI es un requisito previo para utilizar AWS Managed Services (AMS) CLIs (Change Management y SKMS).

1. Para instalar la CLI de AWS, consulte [Instalación de la interfaz de línea de comandos de AWS](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) y siga las instrucciones correspondientes. Tenga en cuenta que al final de esa página hay instrucciones para usar diferentes instaladores: [Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html), [MS Windows](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html), [macOS](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html), [Virtual Environment](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html), [Bundled Installer (Linux, macOS o Unix](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html)).

   Tras la instalación, ejecute `aws help` para verificar la instalación.

1. Una vez instalada la CLI de AWS, para instalar o actualizar la CLI de AMS, descargue el archivo zip distribuible de la **CLI** de **AMS o del SDK** de AMS y descomprímalo. Puede acceder a los distribuibles de la CLI de AMS a través [https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources) en la barra de navegación izquierda de la consola AMS.

1. El archivo README proporciona instrucciones para cualquier instalación.

   Abra una de las siguientes opciones:
   + CLI zip: proporciona únicamente la CLI de AMS.
   + SDK zip: proporciona todo el AMS APIs y la AMS CLI.

   Para **Windows**, ejecute el instalador adecuado (solo sistemas de 32 o 64 bits):
   + 32 bits: **ManagedCloudAPI\$1x86.msi**
   + 64 bits: **ManagedCloudAPI\$1x64.msi**

   Para **Mac/Linux**, ejecute el archivo denominado: **AWSManagedServices\$1InstallCLI.sh** ejecutando este comando:. `sh AWSManagedServices_InstallCLI.sh` **Tenga en cuenta que los directorios **amscm** y **amsskms** y su contenido deben estar en el mismo directorio que el archivo.sh. AWSManagedServices\$1InstallCLI**

1. Si sus credenciales corporativas se utilizan mediante la federación con AWS (la configuración predeterminada de AMS), debe instalar una herramienta de administración de credenciales que pueda acceder a su servicio de federación. Por ejemplo, puede utilizar este blog de seguridad de AWS [sobre cómo implementar el acceso federado a las API y CLI mediante SAML 2.0 y AD FS como](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) ayuda para configurar sus herramientas de administración de credenciales.

1. Tras la instalación, ejecute `aws amscm help` y consulte los comandos y `aws amsskms help` las opciones.
**nota**  
La CLI de AMS debe estar instalada para que estos comandos funcionen. Para instalar la API o CLI de AMS, vaya a la página de **recursos para desarrolladores** de la consola AMS. Para obtener material de referencia sobre la API AMS CM o la API AMS SKMS, consulte la sección Recursos de información de AMS en la Guía del usuario. Puede que necesite añadir una `--profile` opción de autenticación; por ejemplo,`aws amsskms ams-cli-command --profile SAML`. Es posible que también tengas que añadir la `--region` opción, ya que todos los comandos de AMS se ejecutan desde us-east-1, por ejemplo. `aws amscm ams-cli-command --region=us-east-1`

# Programación de copias de seguridad de AMS a nivel de VPC
<a name="schedule-backups"></a>

La programación de copias de seguridad de AWS Managed Services (AMS) en la VPC, donde se asignan las instancias de destino, se crea durante la incorporación de la cuenta con una etiqueta predeterminada en el esquema de creación de la VPC. El sistema de respaldo programa la ejecución de las instantáneas en función de esa etiqueta de VPC. La modificación de la programación se puede realizar mediante la creación de una solicitud de servicio. Para obtener más información, consulte [Etiqueta y valores predeterminados de VPC](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html).

[Para ver los valores predeterminados de las copias de seguridad, consulte Descripción de los valores predeterminados de AMS](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html)