Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Auditoría y conciliación de recursos aprovisionados automáticamente
<a name="reconcile-auto-provisioning"></a>

SCIM le permite aprovisionar usuarios, grupos y membresías grupales de forma automática desde su origen de identidad a IAM Identity Center. Esta guía le ayuda a verificar y conciliar estos recursos para mantener una sincronización precisa.

## ¿Por qué auditar sus recursos?
<a name="reconcile-auto-provisioning-why-audit"></a>

Las auditorías periódicas ayudan a garantizar que sus controles de acceso sigan siendo precisos y que su proveedor de identidades (IdP) permanezca correctamente sincronizado con IAM Identity Center. Esto es particularmente importante para el cumplimiento de las normas de seguridad y la administración de los accesos.

Recursos que se pueden auditar:
+ Users
+ Groups
+ Membresías grupales

 Puede usar [comandos CLI [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)](https://docs.aws.amazon.com/cli/latest/reference/identitystore/)o AWS Identity Store para realizar la auditoría y la reconciliación. En los ejemplos siguientes se utilizan comandos de AWS CLI . Para obtener información sobre las alternativas de API, consulte [las operaciones correspondientes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) en la *referencia de Identity Store API*. 

## ¿Cómo auditar los recursos?
<a name="how-to-audit-resources"></a>

A continuación, se muestran ejemplos de cómo auditar estos recursos mediante AWS CLI comandos.

Antes de comenzar, asegúrese de que dispone de lo siguiente:
+ Acceso de administrador a IAM Identity Center.
+ AWS CLI instalado y configurado. Para obtener más información, consulte la [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Permisos de IAM necesarios para los comandos del almacén de identidades.

### Paso 1: enumeración de los recursos actuales
<a name="list-current-resources"></a>

Puede ver sus recursos actuales mediante AWS CLI.

**nota**  
 Al utilizar el AWS CLI, la paginación se gestiona automáticamente a menos que lo especifique`--no-paginate`. Si llama a la API directamente (por ejemplo, con un SDK o un script personalizado), gestione `NextToken` en la respuesta. Esto garantiza que recupere todos los resultados en varias páginas. 

**Example para usuarios**  

```
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example para grupos**  

```
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
```

**Example para membresías grupales**  

```
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID
```

### Paso 2: comparar con su origen de identidad
<a name="compare-idenity-source"></a>

Compare los recursos de la lista con su origen de identidad para identificar cualquier discrepancia, como las siguientes:
+ Falta de recursos que deberían aprovisionarse en IAM Identity Center.
+ Recursos adicionales que deberían eliminarse de IAM Identity Center.

**Example para usuarios**  

```
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
```

**Example para grupos**  

```
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
```

**Example para membresías grupales**  

```
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID
```

## Consideraciones
<a name="audit-resources-consideratons"></a>
+ Los comandos están sujetos a las [cuotas de servicio y a la limitación de las API](limits.md#ssothrottlelimits).
+ Si encuentra muchas diferencias durante la reconciliación, realice cambios pequeños y graduales en AWS Identity Store. Esto le ayuda a evitar errores que afecten a varios usuarios.
+ La sincronización con SCIM puede anular los cambios manuales. Compruebe la configuración de su IdP para comprender este comportamiento.