Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity and Access Management para el Controlador de recuperación de aplicaciones de Amazon (ARC)
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a AWS los recursos. Los administradores de IAM controlan quién puede *autenticarse* (ha iniciado sesión) y quien está *autorizado* (tiene permisos) para utilizar recursos de ARC. La IAM es una Servicio de AWS herramienta que puede utilizar sin coste adicional.
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solucionar problemas de identidad y acceso al Controlador de recuperación de aplicaciones de Amazon (ARC)](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funcionan las funciones del Controlador de recuperación de aplicaciones (ARC) de Amazon con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en identidades del Controlador de recuperación de aplicaciones (ARC) de Amazon](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Identidad federada
Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.
Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.
Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funcionan las funciones del Controlador de recuperación de aplicaciones (ARC) de Amazon con IAM
Para obtener información acerca de cómo funciona cada capacidad del Controlador de recuperación de aplicaciones de Amazon (ARC), consulte los siguientes temas:
+ [IAM para el cambio de zona](security-iam-zonalshift.md)
+ [IAM para el cambio automático de zona](security-iam-zonalautoshift.md)
+ [IAM para el control de enrutamiento](security-iam-routing.md)
+ [IAM para la comprobación de preparación](security-iam-readiness.md)
+ [IAM para el cambio de región](security-iam-region-switch.md)
# Ejemplos de políticas basadas en identidades del Controlador de recuperación de aplicaciones (ARC) de Amazon
Para ver ejemplos de políticas basadas en la identidad para cada capacidad de Amazon Application Recovery Controller (ARC), consulte los siguientes temas en los AWS Identity and Access Management capítulos correspondientes a cada capacidad:
+ [Ejemplos de políticas basadas en identidades para el cambio automático de zona en ARC](security-iam-zonalshift.md)
+ [Ejemplos de políticas basadas en la identidad para el cambio de zona en ARC](security-iam-zonalautoshift.md)
+ [Ejemplos de políticas basadas en identidades para control de enrutamiento en ARC](security-iam-routing.md)
+ [Ejemplos de políticas basadas en identidades para la verificación de preparación en ARC](security-iam-readiness.md)
# AWS políticas gestionadas para Amazon Application Recovery Controller (ARC)
Para obtener información sobre las políticas AWS administradas para las capacidades de ARC con políticas administradas, incluida una política administrada para un rol vinculado a un servicio, consulte los siguientes temas:
+ [Políticas administradas para cambio automático de zona](security-iam-awsmanpol-zonal-autoshift.md)
+ [Políticas administradas para control de enrutamiento](security-iam-awsmanpol-routing.md)
+ [Políticas administradas para comprobación de preparación](security-iam-awsmanpol-readiness.md)
## Actualizaciones de las políticas AWS gestionadas de Amazon Application Recovery Controller (ARC)
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas para las capacidades de ARC desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre los cambios realizados en esta página, suscríbase a la fuente RSS en la [página del historial de documentos](doc-history.md).
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonApplicationRecoveryControllerRegionSwitchPlanExecutionPolicy.html): política nueva | El Controlador de recuperación de aplicaciones de Amazon (ARC) publicó una nueva política administrada que concede permisos para la ejecución y evaluación del plan de cambio de región. Esta política proporciona acceso de solo lectura a la información del plan de cambio de región, el estado de ejecución y los datos de CloudWatch monitoreo de Amazon. También incluye el permiso para simular las políticas de entidades principales de IAM para la evaluación del plan. | 3 de noviembre de 2025 |
| [AWSZonalAutoshiftPracticeRunSLRPolicy política gestionada: política](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html) actualizada | Agrega la instrucción de política `AutoshiftPracticeCheckPermissions` con los permisos `autoscaling:DescribeAutoScalingGroups`, `ec2:DescribeInstances`, `elasticloadbalancing:DescribeTargetHealth`, y `elasticloadbalancing:DescribeTargetHealth` para respaldar las comprobaciones de capacidad. Para obtener más información, consulte [Cómo funcionan el cambio automático de zona y las ejecuciones de práctica](arc-zonal-autoshift.how-it-works.md). | 30 de junio de 2025 |
| [AWSServiceRoleForPercPracticePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSZonalAutoshiftPracticeRunSLRPolicy.html)— Nueva política | ARC ha agregado un nuevo rol vinculado a servicios para cambios automáticos y ejecuciones de práctica. ARC utiliza los permisos habilitados por la función vinculada al servicio para monitorear las alarmas de CloudWatch Amazon proporcionadas por el Panel de estado cliente y los eventos de los clientes para las ejecuciones de práctica y para iniciar las ejecuciones de práctica. Para obtener más información sobre el nuevo rol vinculado a servicios, consulte [Permisos de rol vinculados al servicio para AWSService RoleForZonalAutoshiftPracticeRun](using-service-linked-roles-zonal-autoshift.md#slr-permissions-slr2). | 30 de noviembre de 2023 |
| [AmazonRoute53 — Política actualizada RecoveryControlConfigReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigReadOnlyAccess) | Añade permisos para`GetResourcePolicy`, a fin de permitir la devolución de detalles sobre las políticas de AWS Resource Access Manager recursos para los recursos compartidos. | 18 de octubre de 2023 |
| [Route53RecoveryReadinessServiceRolePolicy: política](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) actualizada | ARC ha agregado nuevos permisos para consultar información sobre las instancias de Amazon EC2. ARC utiliza los siguientes permisos para admitir el sondeo de las instancias de Amazon EC2, ejecutar comprobaciones de preparación y determinar el estado de preparación de las instancias. `ec2:DescribeVpnGateways` `ec2:DescribeCustomerGateways` | 17 de febrero de 2023 |
| [Ruta 53 — Política actualizada RecoveryReadinessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) | ARC ha incorporado un nuevo permiso para consultar información sobre las funciones de Lambda. ARC usa el siguiente permiso para consultar información sobre las funciones de Lambda a fin de ejecutar comprobaciones de preparación y determinar el estado de preparación de las funciones. `lambda:ListProvisionedConcurrencyConfigs` | 31 de agosto de 2022 |
| [AmazonRoute53 RecoveryControlConfigFullAccess — Política](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) actualizada | Se eliminaron los permisos de Amazon Route 53 de la política y se agregó una nota en la que se enumeran los permisos opcionales. | 26 de mayo de 2022 |
| [AmazonRoute53 RecoveryControlConfigFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigFullAccess.html) — Política actualizada | Se agregaron a la política los permisos de Amazon Route 53 que faltaban y que eran obligatorios. | 15 de abril de 2022 |
| [AmazonRoute53 RecoveryClusterReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryClusterReadOnlyAccess.html) — Política actualizada | ARC agregó un nuevo permiso,`route53-recovery-cluster:ListRoutingControls`, para permitir el control de enrutamiento de listados ARNs con alta disponibilidad. | 15 de marzo de 2022 |
| [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryControlConfigReadOnlyAccess.html) — Política actualizada | ARC ha agregado un nuevo permiso, `route53-recovery-control-config:ListTagsForResources`, para permitir enumerar etiquetas para un recurso. | 20 de diciembre de 2021 |
| [Ruta 53 RecoveryReadinessServiceRolePolicy — Política](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) actualizada | ARC ha agregado un nuevo permiso para consultar información sobre Amazon API Gateway. ARC usa el permiso, `apigateway:GET`, para consultar información sobre API Gateway a fin de ejecutar comprobaciones de preparación y determinar el estado de preparación. | 28 de octubre de 2021 |
| [AmazonRoute53 RecoveryReadinessReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRoute53RecoveryReadinessReadOnlyAccess.html) — Se agregaron nuevos permisos | ARC agregó dos nuevos permisos a [AmazonRoute53 RecoveryReadinessReadOnlyAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessReadOnlyAccess): ARC utiliza `route53-recovery-readiness:GetArchitectureRecommendations` y `route53-recovery-readiness:GetCellReadinessSummary` para permitir el acceso de solo lectura a estas acciones para trabajar con la preparación para la recuperación. | 15 de octubre de 2021 |
| [Route53RecoveryReadinessServiceRolePolicy: política](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) actualizada | ARC ha agregado nuevos permisos para consultar información sobre las funciones de Lambda. ARC usa los siguientes permisos para consultar información sobre las funciones de Lambda para ejecutar comprobaciones de preparación y determinar el estado de preparación de esas funciones. `lambda:GetFunctionConcurrency` `lambda:GetFunctionConfiguration` `lambda:GetProvisionedConcurrencyConfig` `lambda:ListAliases` `lambda:ListVersionsByFunction` `lambda:ListEventSourceMappings` `lambda:ListFunctions` | 8 de octubre de 2021 |
| [Route53RecoveryReadinessServiceRolePolicy: se agregaron nuevas políticas](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/Route53RecoveryReadinessServiceRolePolicy.html) administradas | ARC ha agregado las siguientes políticas administradas nuevas: [AmazonRoute53 RecoveryReadinessFullAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessFullAccess) [AmazonRoute53 RecoveryReadinessReadOnlyAccess](security-iam-awsmanpol-readiness.md#security-iam-awsmanpol-AmazonRoute53RecoveryReadinessReadOnlyAccess) [AmazonRoute53 RecoveryClusterFullAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryClusterFullAccess) [AmazonRoute53 RecoveryClusterReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryClusterReadOnlyAccess) [AmazonRoute53 RecoveryControlConfigFullAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigFullAccess) [AmazonRoute53 RecoveryControlConfigReadOnlyAccess](security-iam-awsmanpol-routing.md#security-iam-awsmanpol-AmazonRoute53RecoveryControlConfigReadOnlyAccess) | 18 de agosto de 2021 |
| ARC ha comenzado el seguimiento de los cambios | ARC comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 27 de julio de 2021 |
# Solucionar problemas de identidad y acceso al Controlador de recuperación de aplicaciones de Amazon (ARC)
Utilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgir cuando trabaje con el Controlador de recuperación de aplicaciones de Amazon (ARC) e IAM.
**Topics**
+ [No tengo autorización para realizar una acción en ARC](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar lo siguiente: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de ARC](#security_iam_troubleshoot-cross-account-access)
## No tengo autorización para realizar una acción en ARC
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con su administrador para obtener ayuda. El administrador es la persona que le proporcionó las credenciales.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `route53-recovery-readiness:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: route53-recovery-readiness:GetWidget on resource: my-example-widget
```
En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obtener acceso al recurso `my-example-widget` mediante la acción `route53-recovery-readiness:GetWidget`.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a ARC.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en ARC. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de ARC
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan políticas basadas en recursos o listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para obtener información acerca de si ARC admite estas características, consulte [Cómo funcionan las funciones del Controlador de recuperación de aplicaciones (ARC) de Amazon con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Acceso al cambio de zona del Controlador de recuperación de aplicaciones (ARC) de Amazon mediante un punto de conexión de interfaz (AWS PrivateLink)
Puede utilizarla AWS PrivateLink para crear una conexión privada entre su VPC y el cambio zonal de Amazon Application Recovery Controller (ARC). Puede acceder al cambio zonal de ARC como si estuviera en su VPC, sin el uso de una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect Las instancias de la VPC no necesitan direcciones IP públicas para acceder al cambio de zona de ARC.
Esta conexión privada se establece mediante la creación de un *punto de conexión de interfaz* alimentado por AWS PrivateLink. Creamos una interfaz de red de punto de conexión en cada subred habilitada para el punto de conexión de interfaz. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado al cambio de zona de ARC.
*Para obtener más información, consulte [Acceso directo AWS PrivateLink en la Servicios de AWSAWS PrivateLink guía](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html).*
## Consideraciones sobre el cambio de zona de ARC
Antes de configurar un punto de conexión de interfaz para el cambio de zona de ARC, consulte [Consideraciones](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) en la *Guía de AWS PrivateLink *.
El cambio de zona de ARC admite la realización de llamadas a todas las acciones de la API a través del punto de conexión de interfaz.
## Creación de un punto de conexión de interfaz para el cambio de zona de ARC
Puede crear un punto final de interfaz para el cambio zonal de ARC mediante la consola Amazon VPC o AWS Command Line Interface con ().AWS CLI Para obtener más información, consulte [Creación de un punto de conexión de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) en la *Guía de AWS PrivateLink *.
Cree un punto de conexión de interfaz para el cambio de zona de ARC utilizando el siguiente nombre de servicio:
```
com.amazonaws.region.arc-zonal-shift
```
Si habilita DNS privado para el punto de conexión de interfaz, puede realizar solicitudes de API al cambio de zona de ARC usando su nombre de DNS predeterminado para la región. Por ejemplo, `arc-zonal-shift.us-east-1.amazonaws.com`.
## Creación de una política de puntos de conexión para el punto de conexión de interfaz
Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos de conexión predeterminada permite acceso completo al cambio de zona de ARC a través del punto de conexión de interfaz. Para controlar el acceso permitido al cambio de zona de ARC desde la VPC, asocie una política de puntos de conexión personalizada al punto de conexión de interfaz.
Una política de punto de conexión especifica la siguiente información:
+ Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).
+ Las acciones que se pueden realizar.
+ El recurso en el que se pueden realizar las acciones.
Para obtener más información, consulte [Control del acceso a los servicios con políticas de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de AWS PrivateLink *.
**Ejemplo: Política de punto de conexión de VPC para acciones de cambio de zona de ARC**
El siguiente es un ejemplo de una política de un punto de conexión personalizado. Cuando se asocia con un punto de conexión de interfaz, esta política concede acceso a las acciones de cambio de zona de ARC mostradas para todas las entidades principales en todos los recursos.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"arc-zonal-shift:ListManagedResources",
"arc-zonal-shift:StartZonalShift",
"arc-zonal-shift:CancelZonalShift"
],
"Resource":"*"
}
]
}
```
El `Resource` también se puede mostrar como `arn:aws:elasticloadbalancing:us-east-1:111122223333:loadbalancer/app/Testing/1111111ecd42dc05`.