Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cómo funciona Re:post Private con IAM
Antes de usar IAM para administrar el acceso a AWS Re:post Private, debe comprender qué funciones de IAM están disponibles para su uso con Re:post Private. *Para obtener una visión general de cómo funcionan Re:post Private y otros AWS servicios con IAM, consulte los [AWS servicios que](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) funcionan con IAM en la Guía del usuario de IAM.*
## Políticas de Re:post Private basadas en la identidad
Con las políticas de IAM basadas en la identidad, puede especificar las acciones permitidas o denegadas. re:Post Private admite acciones específicas. Para obtener más información acerca de los elementos que utiliza en una política de JSON, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas en Re:post Private usan el siguiente prefijo antes de la acción:. `repostspace:` Por ejemplo, para conceder permiso a alguien para ejecutar la operación de la `CreateSpace` API privada Re:post, debes incluir la `repostspace:CreateSpace` acción en su política. Las declaraciones de política deben incluir un `NotAction` elemento `Action` o. re:post Private define su propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"repostspace:CreateSpace",
"repostspace:DeleteSpace"
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "repostspace:Describe*"
```
*Para ver una lista de las acciones de Re:post Private, consulte las [acciones definidas por Re:post Private](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonworkdocs.html#amazonworkdocs-actions-as-permissions) en la Guía del usuario de IAM.*
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
### Claves de condición
Re:Post Private no proporciona ninguna clave de condición específica del servicio, pero admite el uso de claves de condición globales. *Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) de IAM.*
### Ejemplos
Para ver ejemplos de políticas de Re:post Private basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad privada de AWS Re:Post](security-iam-policy-examples.md)
## Re:post Políticas basadas en recursos privados
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los directores pueden incluir cuentas, usuarios, roles, usuarios federados o servicios. AWS Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS administradas de IAM en una política basada en recursos.
Re:post Private no admite políticas basadas en recursos.
## Autorización basada en etiquetas
Re:post Private permite etiquetar los recursos o controlar el acceso en función de las etiquetas. Para obtener más información, consulte [Controlar el acceso a los recursos de AWS mediante etiquetas](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_tags.html).
## Roles de IAM privados de Re:post
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad de tu AWS cuenta que tiene permisos específicos.
### Usar credenciales temporales con Re:post Private
Le recomendamos que utilice credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir un rol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen llamando a operaciones AWS STS de API como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
Re:post Private admite el uso de credenciales temporales.
## Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción por ti. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
## Roles de servicio
Esta función permite que un servicio asuma una [función de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Esta función permite al servicio acceder a los recursos de otros servicios para completar una acción por usted. Para obtener más información, consulte [Crear un rol para delegar permisos a un servicio de AWS](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-service.html). Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
# Uso de roles vinculados a servicios para Re:post Private
[AWS Re:Post Private utiliza funciones vinculadas al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Re:post Private. Re:post Private predefine los roles vinculados al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros servicios en tu nombre. AWS
Un rol vinculado al servicio facilita la configuración de Re:Post Private, ya que no es necesario añadir manualmente los permisos necesarios. re:Post Private define los permisos de sus roles vinculados al servicio y, a menos que se defina lo contrario, solo Re:Post Private puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede adjuntar a ninguna otra entidad de IAM.
****Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte los servicios [que funcionan con IAM y busque AWS los servicios con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) la palabra Sí en la columna Funciones vinculadas a servicios.**** Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de rol vinculados al servicio para Re:post Private
Re:post Private usa el rol vinculado al servicio denominado **AWSServiceRoleForrePostPrivate**. re:Post Private usa este rol vinculado al servicio para publicar datos en. CloudWatch
El rol AWSService RoleForrePostPrivate vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `repostspace.amazonaws.com`
La política de permisos del rol denominada `AWSrePostPrivateCloudWatchAccess` permite a Re:post Private realizar las siguientes acciones en los recursos especificados:
+ Acción sobre: `cloudwatch` `PutMetricData`
Debe configurar los permisos para permitir a sus usuarios, grupos o funciones, crear, editar o eliminar la descripción de un rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
Para obtener más información, consulte [AWSrePostPrivateCloudWatchAccess](security-with-iam-managed-policy.md#cloudwatch-metric-manpol).
## Crear un rol vinculado a un servicio para Re:post Private
No necesita crear manualmente un rol vinculado a servicios. Cuando creas tu primer Re:post privado en la Consola de administración de AWS, la o la AWS API, Re:post Private crea automáticamente el rol vinculado al servicio. AWS CLI
**importante**
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Además, si utilizabas el servicio Re:post Private antes del 1 de diciembre de 2023, cuando empezó a admitir roles vinculados al servicio, Re:post Private creó el rol en tu cuenta. `AWSServiceRoleForrePostPrivate` Para obtener más información, consulte Apareció [un](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) nuevo rol en mi. Cuenta de AWS
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando creas tu primer Re:post privado, Re:post Private vuelve a crear el rol vinculado al servicio para ti.
En la API AWS CLI o en la AWS API, crea un rol vinculado al servicio con el nombre del servicio. `repostspace.amazonaws.com` Para obtener más información, consulte [Crear un rol vinculado a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) en la *Guía del usuario de IAM*. Si elimina este rol vinculado al servicio, puede utilizar este mismo proceso para volver a crear el rol.
## Edición de un rol vinculado a un servicio para Re:post Private
Re:post Private no permite editar el rol vinculado al servicio. `AWSServiceRoleForrePostPrivate` Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Editar un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Re:post Private
No es necesario eliminar manualmente el rol de `AWSServiceRoleForrePostPrivate`. Cuando eliminas tu Re:post privado en la Consola de administración de AWS, la o la AWS API, Re:post Private elimina automáticamente el rol vinculado al servicio. AWS CLI
También puedes usar la consola de IAM, la o la API para eliminar manualmente el AWS CLI rol vinculado al AWS servicio.
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. AWSService RoleForrePostPrivate Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con las funciones vinculadas al servicio de Re:post Private
Re:post Private admite el uso de funciones vinculadas al servicio en las regiones en las que el servicio está disponible. AWS
****
| Nombre de la región | Identidad de la región | Support in Re:post Private |
| --- | --- | --- |
| Este de EE. UU. (Norte de Virginia) | us-east-1 | Sí |
| Este de EE. UU. (Ohio) | us-east-2 | No |
| Oeste de EE. UU. (Norte de California) | us-west-1 | No |
| Oeste de EE. UU. (Oregón) | us-west-2 | Sí |
| África (Ciudad del Cabo) | af-south-1 | No |
| Asia-Pacífico (Hong Kong) | ap-east-1 | No |
| Asia-Pacífico (Yakarta) | ap-southeast-3 | No |
| Asia-Pacífico (Mumbai) | ap-south-1 | No |
| Asia-Pacífico (Osaka) | ap-northeast-3 | No |
| Asia-Pacífico (Seúl) | ap-northeast-2 | No |
| Asia-Pacífico (Singapur) | ap-southeast-1 | Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 | Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 | No |
| Canadá (centro) | ca-central-1 | Sí |
| Europa (Fráncfort) | eu-central-1 | Sí |
| Europa (Irlanda) | eu-west-1 | Sí |
| Europa (Londres) | eu-west-2 | No |
| Europa (Milán) | eu-south-1 | No |
| Europa (París) | eu-west-3 | No |
| Europa (Estocolmo) | eu-north-1 | No |
| Medio Oriente (Baréin) | me-south-1 | No |
| Medio Oriente (EAU) | me-central-1 | No |
| América del Sur (São Paulo) | sa-east-1 | No |
# Ejemplos de políticas basadas en la identidad privada de AWS Re:Post
**nota**
Para mayor seguridad, cree usuarios federados en lugar de usuarios de IAM siempre que sea posible.
De forma predeterminada, AWS Identity and Access Management los usuarios y los roles no tienen permiso para crear o modificar los recursos privados de AWS Re:post. Tampoco pueden realizar tareas con la API Consola de administración de AWS AWS CLI, o AWS . Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe asociar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security-with-iam-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear los recursos privados de Re:post de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Cómo permitir a los usuarios consultar sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Políticas insertadas
Las políticas integradas son políticas que usted crea y administra. Puede integrar políticas integradas directamente en un usuario, grupo o rol. Los siguientes ejemplos de políticas muestran cómo asignar permisos para realizar acciones privadas de AWS Re:Post. Para obtener información general sobre las políticas en línea, consulte [Administrar las políticas de IAM en la Guía](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) del usuario de *AWS IAM*. Puede usar la Consola de administración de AWS, AWS Command Line Interface (AWS CLI) o la AWS Identity and Access Management API para crear e integrar políticas en línea.
**Topics**
+ [Acceso de solo lectura a Re:post Private](#read-only-access)
+ [Acceso completo a Re:post Private](#full-access)
## Acceso de solo lectura a Re:post Private
La siguiente política otorga acceso de lectura a un usuario para el IAM Identity Center y la consola privada Re:post. Esta política permite al usuario realizar acciones de Re:post Private que son de solo lectura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"sso:GetSSOStatus",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"repostspace:GetSpace",
"repostspace:ListSpaces",
"repostspace:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Acceso completo a Re:post Private
La siguiente política otorga acceso total a un usuario al IAM Identity Center y a la consola privada Re:post. Esta política permite al usuario realizar todas las acciones de Re:post Private.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"sso:DescribeRegisteredRegions",
"sso:ListDirectoryAssociations",
"sso:GetSSOStatus",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso:CreateManagedApplicationInstance",
"sso:DeleteManagedApplicationInstance",
"sso:AssociateProfile",
"sso:DisassociateProfile",
"sso-directory:DescribeDirectory",
"sso-directory:SearchUsers",
"sso-directory:SearchGroups",
"kms:ListAliases",
"kms:DescribeKey",
"kms:CreateGrant",
"kms:RetireGrant",
"repostspace:*"
],
"Resource": "*"
}
]
}
```
------
# AWS políticas administradas para AWS Re:post Private
El uso de políticas AWS administradas hace que añadir permisos a los usuarios, grupos y roles sea más fácil que escribir las políticas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Usa políticas AWS administradas para empezar rápidamente. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios pueden añadir permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no infringen los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política `ReadOnlyAccess` AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
**Topics**
+ [AWS política gestionada: AWSRepost SpaceSupportOperationsPolicy](#support-case-manpol)
+ [AWS política gestionada: AWSre PostPrivateCloudWatchAccess](#cloudwatch-metric-manpol)
+ [AWS Re:publique actualizaciones privadas de las políticas administradas AWS](#security-iam-awsmanpol-updates)
## AWS política gestionada: AWSRepost SpaceSupportOperationsPolicy
Esta política permite al servicio AWS Re:post Private crear, gestionar y resolver Soporte los casos que se crean a través de la aplicación web Re:post Private.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RepostSpaceSupportOperations",
"Effect": "Allow",
"Action": [
"support:AddAttachmentsToSet",
"support:AddCommunicationToCase",
"support:CreateCase",
"support:DescribeCases",
"support:DescribeCommunications",
"support:ResolveCase"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: AWSre PostPrivateCloudWatchAccess
Esta política permite al servicio Re:post Private publicar datos en. CloudWatch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchPublishMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/rePostPrivate",
"AWS/Usage"
]
}
}
}
]
}
```
------
## AWS Re:publique actualizaciones privadas de las políticas administradas AWS
Consulte los detalles sobre las actualizaciones de las políticas AWS administradas de Re:post Private desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de [Historial del documento](doc-history.md).
En la siguiente tabla, se describen las actualizaciones importantes de las políticas gestionadas por Re:post Private desde el 26 de noviembre de 2023.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Nueva política - [AWSrePostPrivateCloudWatchAccess](https://docs.aws.amazon.com//repostprivate/latest/caguide/security-with-iam-managed-policy.html#cloudwatch-metric-manpol) | Nueva política gestionada para publicar datos en CloudWatch | 26 de noviembre de 2023 |
| Nueva política - [AWSRepostSpaceSupportOperationsPolicy](https://docs.aws.amazon.com//repostprivate/latest/caguide/security-with-iam-managed-policy.html#support-case-manpol) | Nueva política gestionada para la función AWS Support en AWS Re:Post Private | 26 de noviembre de 2023 |
| Re:post Private comenzó a rastrear los cambios | Re:post Private comenzó a rastrear los cambios en sus políticas gestionadas AWS | 26 de noviembre de 2023 |
# Solución de problemas de acceso e identidad privada de AWS Re:Post
Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con Re:post Private e IAM.
**Topics**
+ [No estoy autorizado a realizar ninguna acción en Re:post Private](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Re:post Private](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en Re:post Private
Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.
En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `repostPrivate:GetWidget`.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: repostPrivate:GetWidget on resource: my-example-widget
```
En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `repostPrivate:GetWidget`.
Si necesitas ayuda, ponte en contacto con tu administrador. AWS El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## No estoy autorizado a realizar tareas como: PassRole
Si recibes un mensaje de error que indica que no estás autorizado a realizar la `iam:PassRole` acción, debes actualizar tus políticas para que puedas transferir una función a Re:post Private.
Algunas te Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada al servicio. Para ello, debe tener permisos para transferir la función al servicio.
El siguiente ejemplo de error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en Re:post Private. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir la función al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Re:post Private
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Re:post Private admite estas funciones, consulte. [Cómo funciona Re:post Private con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.